Etude Authentification Forte en Ligne

LES LEVIERS DUSAGE DANS LA SOCIETE DE LECONOMIE NUMERIQUE : IDENTIFICATION, AUTHENTIFICATION, SIGNATURE
Les leviers dusage dans la socit de lconomie numrique
_________________________________________________________________________________________________________________
2/ 133
Charles de Coussin, ID Partners
Avec la participation de MMe. Eric Caprioli et Pascal Agosti Cabinet Caprioli et Associs
pour le Chaptre 5, Le cadre juridique

Didier Geiben, GM Consultants Ludovic Francesconi, Gie Cartes Bancaires
pour le Chaptre 6, Use case 1 : domaine bancaire
_________________________________________________________________________________________________________________
3/ 133
Cette tude a t ralise avec le soutien de : Etude Caprioli, Imprimerie Nationale, SFR, ADEC, Orange, GIXEL, Caisse des Dpts et Consignation, GIE Cartes Bancaires, GM Consultants, Bouygues Tlcom, EADS Cassidian, Altenor, Gie SESAM Vitale, Keynectis
_________________________________________________________________________________________________________________
4/ 133
Nous tenons remercier les personnes suivantes, dont les conseils aviss ont permis laboutissement du projet : Me Pascal Agosti, Xavier Aubry, Jean-Paul Alaterre, Stphane Baudais, Alain Bobant, Grard Bonningue, Vincent Barnaud, Me Eric Caprioli, Didier Chaudun, Pascal Colin, Jean Cueugniet, Jean Pierre Doussot, Maud Franca, Ludovic Francesconi, Didier Geiben, Gwendal Le Grand, Fabrice Mattatia, Marc Meyer, Patrick Montliaud, Rafik Nabli, Marie Nuadi, Thibaut Ravis, Francis Siegwald, Frdrique Suming, Thibaut de Valroger, Jacques de Varax, Elie Silberztein. Cette tude a ncessit de nombreux entretiens ; que soient ici remercis les personnes qui se sont prtes au jeu des questions rponses en apportant lexpertise de leur mtier : Martine Schiavo (Franaise Des Jeux), Henri de Maublanc (Aquarelle), Marie Giroud (ACSEL), Herv Le Bars (DGME), Bruno Benteo (Sagem Orga), Daniel Savoyen (Crdit Agricole), Xavier Neboit (FIANET), Agnes Chirouze (FIANET), Frdric le Guen (FIANET), Alain Dias (FIANET), Patrick Labarre (Mr Gooddeal), Olivier Desbiey (La Poste), Didier Lefevre (Conseil Suprieur du Notariat), Me Jean-Franois Doucede (Greffe du Tribunal de Commerce de Bobigny), Ren Pinon (CA Consumer Finance) , Ludovic Amoedo (CA Consumer Finance), Laurent Charpentier (Cetelem), Edouard Franois de Lancquesaing (Paris Europlace), Frdric Epaulard (ARJEL), Saadoum Bardi (ARJEL), Guillaume Despagne (Ariadnext), Franois Rosier (Fdration Franaise des Assurances), Elise Debies (Ministre du Travail, de lEmploi et de la Sant), Nathalie Annaloro (Resocom), Jean-Sylvain Ripoll (Resocom), Bernard Gouraud (BPCE), Frank Leyman (FEDICT), Beyl Bert (FEDICT), Claudine Danguiral (Ministre du Budget, des Comptes Publics et de la Rforme de ltat, Dlgation Nationale la lutte contre la Fraude), Rmi Favier (Ministre du Budget, des Comptes Publics et de la Rforme de ltat, Dlgation Nationale la lutte contre la Fraude), Philippe Louviau (Ministre du Budget, des Comptes Publics et de la Rforme de ltat, Dlgation Nationale la lutte contre la Fraude), Eric Massoni (Ministre du Budget, des Comptes Publics et de la Rforme de ltat, Dlgation Nationale la lutte contre la Fraude), Jean Gina (Ministre du Budget, des Comptes Publics et de la Rforme de ltat, Dlgation Nationale la lutte contre la Fraude), Alexandre Stervinou (Banque de France), Sebastien Herniote (ANSSI), JeanFranois Parguet (ASIP Sant), Thierry Dinard (Altenor), Antonio Queiroz (BNP Paribas), Franoise Lamotte (AXA), Guillaume Monnet (GESTE), Dominique du Chatellier (FEVAD), Xavier Fricout (Oberthur), Baudoin de Sonis (eForum), Slawomir Gorniak (ENISA), Gerald Santucci (Commission Europenne), Marie Figarella (Gemalto), Jean-Pierre Lafon (Thales).
_________________________________________________________________________________________________________________
5/ 133
SOMMAIRE
1 1.1 1.2 1.3 1.4 1.4.1 1.4.2 1.5 1.6 1.7 2 2.1 2.1.1 2.1.2 2.2 2.2.1 2.3 2.3.1 2.3.2 2.3.3 2.3.4 2.4 2.4.1 2.4.2 2.4.3 2.4.4 2.5 2.5.1 2.5.2 2.5.3 2.5.4 2.5.5 2.6 2.6.1 2.7 2.7.1 2.7.2 2.8 2.8.1 2.8.2 2.9 2.10 2.11 CONTEXTE ET PRIMTRE DE LTUDE .............................................................................. 10 ENJEUX DE LIDENTIT EN LIGNE............................................................................................... 10 MTHODOLOGIE ET PRIMTRE DE LTUDE ................................................................................ 11 CHIFFRES DE LCONOMIE NUMRIQUE ..................................................................................... 11 LES INITIATIVES DE LTAT VIS--VIS DU NUMRIQUE .................................................................... 13 LE RAPPORT FRANCE NUMRIQUE ................................................................................................ 13 IDENTIT SUR INTERNET............................................................................................................... 13 FRAUDE LIDENTIT ............................................................................................................ 14 IDENTIT VS ATTRIBUTS ......................................................................................................... 15 UN CONTEXTE DQUIPEMENTS FAVORABLE ............................................................................... 15 TYPOLOGIE DES ACTEURS ................................................................................................ 17 LA SPHRE PUBLIQUE ............................................................................................................ 17 FICHE DTAT CIVIL, EXTRAIT DACTE DE NAISSANCE ET EXTRAIT DE CASIER JUDICIAIRE ............................ 18 FORMULAIRES CERFA ................................................................................................................ 19 LE DOMAINE SANT .............................................................................................................. 20 LA CARTE VITALE ....................................................................................................................... 20 LA SPHRE BANCAIRE ............................................................................................................ 24 BANQUES DE RSEAUX ................................................................................................................ 24 BANQUE DISTANCE / BANQUE EN LIGNE ...................................................................................... 25 LE MARCH DES TITRES SCRIPTURAUX ............................................................................................ 26 SEPA DIRECT DEBIT ................................................................................................................... 27 LE CRDIT LA CONSOMMATION ............................................................................................. 29 B2C......................................................................................................................................... 29 B2B2C .................................................................................................................................... 29 CONTEXTE JURIDIQUE ................................................................................................................. 30 ASSURANCE CRDIT .................................................................................................................... 31 LES ACHATS EN LIGNE............................................................................................................ 31 FRAUDE LIDENTIT POUR LES ACHATS EN LIGNE ............................................................................ 32 FRAUDE AUX PAIEMENTS SUR LE WEB ............................................................................................ 34 LE MO/TO (MAIL ORDER / TELEPHONE ORDER) ............................................................................ 35 SASSURER DU CONSENTEMENT DE LINTERNAUTE ........................................................................... 35 LA DIRECTIVE EUROPENNE SUR LES SERVICES DE PAIEMENT ............................................................. 36 LES JEUX EN LIGNE................................................................................................................ 38 CONTEXTE RGLEMENTAIRE ......................................................................................................... 38 LES LOISIRS ........................................................................................................................ 40 VIDO ON DEMAND (VOD)......................................................................................................... 40 LA LOCATION DE VOITURE ............................................................................................................ 40 LES GREFFES DES TRIBUNAUX .................................................................................................. 40 DMATRIALISATION DES PROCDURES ADMINISTRATIVES................................................................. 40 PROCDURES MISES DISPOSITION DES ENTREPRISES ....................................................................... 40 LES NOTAIRES ..................................................................................................................... 41 LES HUISSIERS DE JUSTICE....................................................................................................... 42 LA LETTRE RECOMMANDE LECTRONIQUE ................................................................................. 42
_________________________________________________________________________________________________________________
6/ 133
2.12 LES ASSURANCES ................................................................................................................. 44 2.12.1 E-ASSURANCE ............................................................................................................................ 44 2.12.2 NCESSIT DAUTHENTIFICATION FORTE ......................................................................................... 45 2.12.3 LOI CHATEL ............................................................................................................................... 45 2.13 LE VOTE LECTRONIQUE......................................................................................................... 46 2.13.1 LE CADRE RGLEMENTAIRE........................................................................................................... 46 2.13.2 LE VOTE LECTRONIQUE AU SEIN DES ORDRES PROFESSIONNELS ......................................................... 47 2.13.3 LE VOTE LECTRONIQUE DANS LES SOCITS COTES ......................................................................... 47 2.13.4 LES SOLUTIONS PROPOSES .......................................................................................................... 47 3 FOURNITURE DIDENTIT ET INTERMDIATION ................................................................ 49
3.1 CERCLES DE CONFIANCE ......................................................................................................... 49 3.2 LES FOURNISSEURS DIDENTIT ................................................................................................ 52 3.2.1 LIDENTIT RGALIENNE .............................................................................................................. 52 3.2.2 LINITIATIVE IDNUM ................................................................................................................ 53 3.2.3 IDNUM VS CNIE ..................................................................................................................... 54 3.2.4 LES OPRATEURS POTENTIELS IDNUM ......................................................................................... 55 3.3 FOURNITURE DIDENTIT ET INTEROPRABILIT............................................................................ 58 4 4.1 4.1.1 4.2 4.2.1 4.2.2 4.2.3 4.2.4 4.3 4.4 4.4.1 4.4.2 4.4.3 4.4.4 4.4.5 4.5 5 5.1 5.2 5.3 5.4 5.5 5.6 ATTENTE DES ACTEURS VIS--VIS DE LIDENTIT LECTRONIQUE ...................................... 61 TYPOLOGIE DES ACCS EN LIGNE .............................................................................................. 61 IDENTIFICATION / AUTHENTIFICATION ............................................................................................ 61 LES ENJEUX DE LIDENTIT LECTRONIQUE .................................................................................. 62 GAINS DE PRODUCTIVIT ............................................................................................................. 63 NOUVEAUX MARCHS ................................................................................................................. 63 ROAMING DIDENTIT ET CERCLE DE CONFIANCE .............................................................................. 63 ACCEPTATION DUNE IDENTIT DANS UN CERCLE DE CONFIANCE ......................................................... 64 RDUCTION DE LA FRAUDE ..................................................................................................... 66 LA VISION DU CONSOMMATEUR .............................................................................................. 68 CONFIANCE VS AUTOMATISATION ................................................................................................. 68 CONFIDENTIALIT VS SCURIT ..................................................................................................... 69 LES COFFRES-FORTS LECTRONIQUES ............................................................................................. 70 LES CERTIFICATS LECTRONIQUES .................................................................................................. 70 LES SUPPORTS DAUTHENTIFICATION ............................................................................................. 73 ANONYMISATION ET TRAABILIT ............................................................................................ 73 LE CADRE JURIDIQUE ....................................................................................................... 75
QUELQUES JURISPRUDENCES TRANGRES (TATS-UNIS DAMRIQUE) CONCERNANT LAUTHENTIFICATION 75 UNE DFINITION EUROPENNE DE LAUTHENTIFICATION ................................................................ 76 LES RENVOIS LGISLATIFS ET RGLEMENTAIRES LA NOTION DIDENTIT NUMRIQUE ........................... 77 LES INITIATIVES GOUVERNEMENTALES (LABEL IDNUM, RGS) ........................................................ 80 SIGNATURE VERSUS AUTHENTIFICATION .................................................................................... 82 EVOLUTION ATTENDUE DU CONTEXTE RGLEMENTAIRE (FRANCE, EUROPE) : LA CARTE NATIONALE DIDENTIT LECTRONIQUE (CNIE)..................................................................................................................... 82 5.7 SCURIT VS PROTECTION DES LIBERTS INDIVIDUELLES (DIRECTIVES EUROPENNES ET DROIT FRANAIS) ... 83 5.8 RESPONSABILIT DES ACTEURS ................................................................................................ 86
_________________________________________________________________________________________________________________
7/ 133
6 6.1 6.1.1 6.1.2 6.1.3 6.2 6.3 6.4 6.5 6.5.1 6.5.2
USE CASE 1 : DOMAINE BANCAIRE ................................................................................... 87 LES SOLUTIONS DAUTHENTIFICATION MISES EN UVRE PAR LES BANQUES POUR LEURS USAGES .............. 87 PANORAMA DES SOLUTIONS MISES EN UVRE ................................................................................ 87 LE PROTOCOLE 3D SECURE .......................................................................................................... 87 PROBLMATIQUE DE LA SOLUTION DAUTHENTIFICATION .................................................................. 88 SITUATION EN EUROPE.......................................................................................................... 89 3DS, PREMIERS LMENTS DE DIAGNOSTIC ................................................................................ 90 UNE INTEROPRABILIT LIMITE DES MTHODES DAUTHENTIFICATION .............................................. 90 LES LEVIERS DU DVELOPPEMENT DE LAUTHENTIFICATION FORTE DANS LES SERVICES BANCAIRES ............ 90 LA GESTION DE LA FRAUDE SUR INTERNET ....................................................................................... 90 LOPPORTUNIT DE MTHODES DAUTHENTIFICATION INTEROPRABLES ET LARGEMENT DIFFUSES .......... 91
7 USE CASE 2 : RLE DES OPRATEURS MOBILES ET DE LA CARTE SIM DANS LAMLIORATION DE LA CONFIANCE DANS LA SPHRE NUMRIQUE........................................................................ 93 7.1 7.2 7.2.1 7.2.2 7.3 7.4 7.4.1 8 8.1 8.1.1 8.1.2 8.1.3 8.1.4 8.1.5 8.2 8.3 8.3.1 8.3.2 8.3.3 8.3.4 8.4 8.4.1 8.4.2 8.5 8.6 8.7 8.8 8.8.1 8.8.2 8.8.3 8.9 8.10 8.11 LE MOBILE COMME OUTIL UNIVERSEL D'AMLIORATION DE LA CONFIANCE EN LIGNE ............................. 93 LE MOBILE COMME VECTEUR DE CONFIANCE EN BI-CANAL .............................................................. 93 AUTHENTIFICATION ET MOBILIT................................................................................................... 94 IDENTIT SUR CARTE SIM ............................................................................................................ 94 TYPOLOGIE DES SERVICES EN LIGNE VISS ................................................................................... 94 MODLE(S) FINANCIER(S) ...................................................................................................... 95 ENRLEMENT & CONTRLE DIDENTIT......................................................................................... 96 MODELES ECONOMIQUES ET CHAINE DE VALEURS ........................................................... 97 MARCH ADRESSABLE DE LAUTHENTIFICATION EN LIGNE ............................................................... 97 ADHSION OU ENRLEMENT ........................................................................................................ 97 AUTHENTIFICATION, OU ACCS SCURIS ........................................................................................ 97 LE MODLE FINANCIER ................................................................................................................ 98 OFFRE DE SUBSTITUTION ET OFFRE DYNAMIQUE .............................................................................. 99 LES TYPES DE CERTIFICATS : .......................................................................................................... 99 RPARTITION PAR TYPES DE CERTIFICATS.................................................................................... 99 SECTEUR BANCAIRE .............................................................................................................102 MARCH DE LAUTHENTIFICATION FORTE ET SIGNATURE POUR LA BANQUE DE RSEAU ......................... 102 MARCH DE LAUTHENTIFICATION FORTE ET SIGNATURE POUR LA BANQUE EN LIGNE ........................... 103 LA DMATRIALISATION DES TITRES SCRIPTURAUX.......................................................................... 103 POTENTIEL DE LA BANQUE POUR LES CERTIFICATS .......................................................................... 104 LES ACHATS EN LIGNE...........................................................................................................105 AUTORISATION DE DBIT BANCAIRE ............................................................................................. 105 NON-RPUDIATION DES ACHATS ................................................................................................. 105 LE CRDIT LA CONSOMMATION ............................................................................................106 LES JEUX EN LIGNE...............................................................................................................107 LOCATION DE VOITURES .......................................................................................................107 OFFICIERS PUBLICS ET MINISTRIELS ........................................................................................107 GREFFIERS DES TRIBUNAUX DE COMMERCE ................................................................................... 108 LES NOTAIRES .......................................................................................................................... 108 LES HUISSIERS .......................................................................................................................... 108 RECOMMANDS ET COURRIERS VALEUR PROBANTE ...................................................................109 LES ASSURANCES ................................................................................................................110 VOTE LECTRONIQUE DES ASSEMBLES COTES...........................................................................111
_________________________________________________________________________________________________________________
8/ 133
8.12 8.13 8.13.1 8.13.2 8.13.3 8.13.4 8.14 8.15 9
LE TRAVAIL TEMPORAIRE ......................................................................................................111 LE MODLE FINANCIER .........................................................................................................112 RPARTITION PAR CATGORIE DE CERTIFICATS ............................................................................... 112 ENRLEMENT VERSUS AUTHENTIFICATION .................................................................................... 112 LES SECTEURS PORTEURS ........................................................................................................... 113 QUELQUES SCNARIOS EXTRMES ............................................................................................... 115 LES LEVIERS DE LAUTHENTIFICATION FORTE...............................................................................117 USAGES PRIVS, USAGES PROFESSIONNELS ................................................................................118 NORMES ET STANDARDS : ..............................................................................................119
9.1 DIRECTIVE ET NORMES SUR LA SIGNATURE LECTRONIQUE ............................................................119 9.1.1 TRANSPOSITION FRANAISE ....................................................................................................... 119 9.1.2 SPCIFICATIONS TECHNIQUES ..................................................................................................... 119 9.1.3 EVALUATION ET CERTIFICATION .................................................................................................. 120 9.1.4 PUBLICATIONS DES NORMES....................................................................................................... 120 9.2 PLAN D'ACTION EN FAVEUR DE L'UTILISATION DES SIGNATURES LECTRONIQUES DANS LE MARCH UNIQUE 121 9.3 RVISION DE LA NORME .......................................................................................................121 9.3.1 LE CONTEXTE ........................................................................................................................... 121 9.3.2 L'HISTORIQUE DES TRAVAUX DE NORMALISATION .......................................................................... 122 9.3.3 LA DESCRIPTION DU MANDAT ..................................................................................................... 123 9.3.4 MODUS OPERANDI ................................................................................................................... 124 9.4 CEN / TC 224 ...................................................................................................................124 9.5 RVISION DE LA DIRECTIVE EUROPENNE SUR LE RESPECT DE LA VIE PRIVE DANS LES TRANSACTIONS LECTRONIQUES ............................................................................................................................ 125 9.5.1 PET, PRIVACY ENHANCING TECHNOLOGIES ................................................................................. 126 9.5.2 DVELOPPEMENT DE TECHNOLOGIES RENFORANT LA PROTECTION DE LA VIE PRIVE ........................... 127 9.5.3 ACTION ENTREPRENDRE CONCERNANT LE RESPECT DE LA VIE PRIVE ............................................... 127 9.6 STANDARDS ET ARCHITECTURES INFORMATIQUES .......................................................................128 9.6.1 FDRATION DIDENTIT ............................................................................................................ 128 9.6.2 LIBERTY ALLIANCE..................................................................................................................... 128 9.6.3 OPENID ................................................................................................................................. 129 9.6.4 SAML 2.0 .............................................................................................................................. 129 9.6.5 MICROSOFT PASSPORT; WINDOWS CARDSPACE ........................................................................... 131 9.6.6 INFOCARD : NOUVEAU SYSTME D'IDENTIFICATION UNIFI .............................................................. 131 9.6.7 WS*...................................................................................................................................... 131 9.6.8 SOAP .................................................................................................................................... 132
_________________________________________________________________________________________________________________
9/ 133
SOMMAIRE EXECUTIF
Pourquoi des mcanismes pour scuriser les accs en ligne, alors que loffre est inexistante ! . Une assertion suffisamment rpandue pour que, la France, prcurseur du numrique avec le Minitel, se refuse raliser la stagnation de lconomie en ligne, faute de mcanismes pour identifier les internautes. Pourtant, si on passe en revue certains blocages persistance des chques et TIP, rpudiation des achats, abstention leve des votes, risques de blanchiment, fraudes..... des rponses simples pourraient tre fournies par recours aux certificats lectroniques. Pourtant moult tentatives fleurissent pour renforcer le couple traditionnel Identifiant / mot de passe mais sans satisfaire lusager, soucieux de simplicit et mfiant quant les demandes touchent sa vie prive et que les crans se multiplient. Ce rapport vise quantifier le march de faon ce que prestataires didentit et oprateurs de services en ligne puissent positionner leurs offres. On constate des gains de productivit importants dans des secteurs cls, comme la banque, tout comme lmergence dacteurs nouveaux pouvant garantir lidentit des internautes, notamment les oprateurs tlphoniques. Sont galement rappeles des notions fondamentales telles anonymat et traabilit ; un impratif de faon ce que le respect de la vie prive sexerce sereinement, mais sans empcher la prvention dventuelles malveillances. Lenjeu fondamental de lconomie en ligne, cest de garantir la lgitimit des transactions, mais galement de traquer les tentatives de fraude. Lconomie du net ncessitant des bases fiables, quivalentes celles du monde rel. Des gains de productivit sont envisags chez les fournisseurs de services, environ un milliard deuros cinq ans, sur la base de certificats lectroniques, rien que pour les particuliers. Non abord dans cette tude, le monde de lentreprise, qui permet galement danticiper un march consquent en dmatrialisant ses rapports avec lextrieur - clients, fournisseurs, tablissements financiers galement grce des certificats de particuliers ; le personnel pouvant sauthentifier et signer lectroniquement des documents en ligne, en fonction de son habilitation. Il sagit donc dun march minima, qui reflte au plus prs les usages des consommateurs ; un march qui pourrait tre fortement dynamis si des acteurs cls, comme la banque, menaient une approche volontariste en proposant aux dtenteurs de certificats des fonctionnalits nouvelles quant ils accdent leurs comptes. Finalise en juin 2011, cette tude vise modestement produire le clich dun cosystme appel des changements majeurs grce au fort engagement de lEtat et des acteurs du secteur priv vis--vis de problmatiques multiples : dossier mdical, jeux en ligne, rforme du crdit la consommation. Des domaines trs varis, qui ncessitent des contrles renforcs mais galement une automatisation des procdures o les certificats vont pleinement jouer leur rle.
_________________________________________________________________________________________________________________
10/ 133
CONTEXTE ET PERIMETRE DE LETUDE
1.1 Enjeux de lidentit en ligne Une tude ralise en 20071 avait permis de recenser les secteurs pouvant bnficier de procdures dauthentification forte et de signature pour des accs en ligne. Ce court rapport visait dmontrer que la carte nationale didentit lectronique (CNIe) pouvait tre utilise sur internet et pas seulement pour contrler ltat civil. Une procdure base sur la partie eService du titre, en complment du mode voyage sans contact, dont lusage est proche du passeport2. Depuis, le paysage de lidentit sest enrichi de nouveaux titres rgaliens. Le permis de conduire, sous limpulsion de la troisime Directive Europenne3 et de la Norme ISO 180134, pourra contenir des lments dauthentification forte lgal de la future CNIe. La carte de rsident5, prochainement dlivre aux trangers tablis en Europe, pourra galement tre utilise pour des accs scuriss en ligne. Paralllement aux projets de lANTS6, le Secrtariat lEconomie Numrique7 devenu en 2011 Ministre de lIndustrie et de lEconomie numrique sous la responsabilit dEric Besson a lanc le 2 Fvrier 2010 linitiative IDNUM8 visant labliser des fournisseurs didentit sur la base dun cahier des charges issu du RGS9. Une dmarche qui suscite lintrt des oprateurs tlcoms, banques et acteurs du priv susceptibles de dlivrer des certificats lectroniques qualifis, c'est--dire dans le cadre dun face face, pour sassurer de lidentit du demandeur. Comme le paysage identitaire est particulirement riche, voire multipolaire, le propos de cette tude est de ractualiser le dfrichage de 2007 en fonction des initiatives nouvelles. Les interrogations sont multiples : Modalits denrlement pour un fournisseur didentit ? Ses liens avec lidentit rgalienne ? Diffrents niveaux dauthentification forte peuventils tre envisags ? Les oprateurs de services sont-ils prts accepter, indiffremment, multiples fournisseurs didentit ? Et, si cest le cas, comment assurer linteroprabilit des procdures dauthentification ? Quels sont les services requrant des procdures dauthentification, voire de signature ? Lauthentification repose-t-elle sur des attributs gnriques ou
Etude d'impact : la signature lectronique et les infrastructures cl publique dans le contexte de l'identit numrique : Quels usages pour les titres scuriss mis par l'tat dans le monde de l'conomie numrique ? AFNOR Standarmedia Paris 2007. 2 LAgence Nationale des Titres Scuriss (ANTS) sous la direction du Prfet Raphal Bartolt, en synergie avec le Bundesamt fr Sicherheit in der Informationstechnik (BSI), a tabli les fondements de la Carte dIdentit Europenne (WG 15 Working Group European Citizen Card (TS 15480) base sur le protocole IAS qui permet la fois des fonctions voyage et scurisation de lauthentification en ligne pour des eServices. La Partie 4 de cette spcification technique (Part 4: Recommendations for European Citizen Card issuance, operation and use) dtaille un certain nombre de profils, dusage dont la National ID Card, le e-Government Card et le City Card qui dtaile les modalits dauthentification en ligne. 3 Directive 2006/126/CE du Parlement europen et du Conseil du 20 dcembre 2006 relative au permis de conduire (refonte) 4 ISO/IEC 18013-1:2005 Information technology -- Personal identification -- ISO-compliant driving licence -- Part 1: Physical characteristics and basic data set 5 http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2002:157:0001:0007:FR:PDF 6 Agence Nationale des Titres Scuriss, sous la responsabilit du Prfet Raphal Bartolt 7 Madame Nathalie Kosciusko-Morizet 8http://www.prospective-numerique.gouv.fr/numerique/usages-et-services/protection-de-l-internaute/idenum.html 9 http://www.references.modernisation.gouv.fr/sites/default/files/DGME_Fiche_RGS_BAT.pdf
1
_________________________________________________________________________________________________________________
11/ 133
contextuels ? Et, dans ce cas, comment rcuprer des donnes chez un dtenteur ? Mais surtout, quel est le modle financier de lcosystme numrique ? 1.2 Mthodologie et primtre de ltude Lapproche terrain a t privilgie, notamment par une enqute auprs de prestataires souhaitant scuriser les accs sur la toile comme tracer les changes, quil sagisse dacteurs privs ou de services publics. Ltude sarticule en trois parties : fournisseurs didentit notamment ltat et prtendants au label IDNUM-, services en ligne ncessitant des mcanismes dauthentification forte et de signature administrations, banque, loisirs. et, enfin, recommandations de mise en uvre sur la base dhypothses de revenus. 1.3 Chiffres de lconomie numrique Bien que les services en ligne dcollent, linternaute a encore du mal concrtiser une transaction. La proccupation des fournisseurs, cest donc de proposer des solutions simples, ergonomiques, mais qui satisfassent les juristes, dans la mesure o la fraude cherchera tirer profit des failles du numrique. Aujourdhui, prs de la moiti des transactions en ligne ne sont pas conclues10, comme le remarquent lACSEL11 et les fournisseurs de crdits. La vente sur internet dplore labsence doutils de virement bancaire, comme une alternative aux cartes de crdit, 50% des promesses de paiements naboutissant pas12. Donc, des opportunits pour des mcanismes qui combinent facilit dusage et conformit au cadre rglementaire. Pourtant cette tude ne traite pas de la fraude, bien que les menaces sur le web justifient la prudence des DSI13 ; il sagit essentiellement danalyser et quantifier les mcanismes visant conclure une transaction en ligne de faon faciliter la mise en uvre de nouveaux outils. Ltude 2009 du CREDOC sur notre perception des technologies de linformation14 pousse loptimisme, vu les populations actives sur le web15 et le potentiel de croissance16.
Prs dun acheteur sur deux en moyenne abandonne la transaction dachat entre la validation de la commande et le paiement. Bilan annuel 2009 ecommerce en France (ACSEL) 11 http://www.associationeconomienumerique.fr/wp-content/uploads/2010/03/p4.pdf 12 Entretien Mr Labarre. Ventadis /Mr Gooddeal 5 Novembre 2010 13 Le rapport, ISTR (Internet Security Threat Report) publi en septembre dernier par Symantec, rvle que la cybercriminalit devient une activit de plus en plus professionnelle et commerciale, avec des groupes criminels organiss travers le monde qui sattachent dployer des attaques en ligne cibles, labores et rentables. Le rapport dvoile les outils vendus en ligne (par exemple des kits de phishing vendus de 35 75 euros), conus par des cybercriminels, pour aider dautres pirates prendre part des activits en ligne illgales. Une enqute de Symantec expose que les trois kits de phishing les plus usits sont responsables de 42 % de toutes les attaques de phishing, preuve quun certain nombre de sites web de phishing sont contrls par une seule source. Enfin notons un nombre croissant de serveurs commerciaux clandestins sur lesquels on vend et achte, comme sur un site denchres, des identits de victimes. Parmi les donnes proposes, ce sont les cartes de crdit qui remportent le plus vif succs, reprsentant 22 % de tous les articles mis en vente sur ces serveurs clandestins.et vendues par lots de 10 ou 20 pour la modique somme de 30 centimes deuro environ. On trouve ensuite les comptes bancaires (21 % des articles proposs) ; les mots de passe de courriers (8 %) ; les mailers (8 %) ; les adresses de courriers lectroniques (6 %) ; les proxies (6 %) ; les identits compltes (6 %) ; les scams (6 %) ; les numros de scurit sociale (3 %). (ZDNet, 21 septembre 2007) 14 La diffusion des technologies de l'information et de la communication dans la socit franaise (2009). Centre de Recherche pour l Etude et lObservation des Conditions de Vie. Paris 2009 15 21 millions de Franais ont effectu lan dernier des dmarches administratives ou fiscales sur Internet. Quatre Franais sur dix ont effectu, ces douze derniers mois, des dmarches administratives ou fiscales sur Internet (+ 3 points par rapport lan dernier). Ce nombre progresse uniquement grce la monte du nombre dinternautes car, au sein de ces derniers, la pratique stagne depuis deux ans (56%, contre 58% lan dernier et 57% en 2007). Au final, pas moins de 21 millions de personnes ont eu recours au Net pour mener bien des dmarches administratives ou fiscales lan dernier. 16 En 2008, nous avions not une pause dans la progression du nombre de personnes dclarant effectuer des dmarches administratives et fiscales sur Internet. En juin 2009, on enregistre une nouvelle phase de croissance : 40% de la population ont effectu ce type de dmarches, cest- dire 3 points de plus quen 2008. Cette volution est corrle avec celle des tldclarations de revenus, qui ont stagn en 2008, puis progress en 2009. Il est intressant de noter quindpendamment des dclarations de revenus, la frquentation des sites gouvernementaux ne cesse de crotre chaque anne 9 ; tout se passe comme si les enquts se souvenaient mieux de leur dclaration fiscale que des autres dmarches administratives quils auraient pu effectuer. La courbe de progression du commerce en ligne est sans doute celle qui symbolise le mieux lintgration progressive des TIC dans les modes de vie de nos concitoyens. Songeons quen 2001, seuls 7% des Franais effectuaient des achats par Internet ; huit ans plus tard, on en dnombre 41%, cest--dire plus de 21 millions de personnes en France. La vitesse de ces changements donne une ide des bouleversements quInternet a initis dans la vie de chacun, et des perspectives pour les annes venir
10
_________________________________________________________________________________________________________________
12/ 133
Prs de 50% des internautes ralisent des dmarches administratives et fiscales en ligne. Les sites de lEtat sont aussi consults que la vente sur internet ; ils se situent, bien avant les tlchargements ou la tlphonie sur le web (Etude CREDOC 2009)
Le diagramme ci-dessous permet de comprendre le dynamisme de lcosystme numrique ; les CSP+, vivant en agglomrations et gagnant par mois plus de 3500 euros, devenant les vecteurs de croissance de linternet. Trs avertis vis--vis de services en ligne, ils privilgient les plus fiables, permettant de finaliser rapidement une transaction. Un constat qui milite en faveur de mcanismes simples mais garantissant lintgrit de la procdure. Ltude CREDOC value lattrait pour les services en ligne en fonction du type dinternaute, mettant en avant le profil du CSP+ vivant en agglomration. Par contre la scurit du paiement en ligne constitue une rsistance majeure et un frein lusage de linternet.
Une rserve qui tend diminuer avec lge et le niveau dducation ; les cadres suprieurs tant suffisamment avertis des garanties et modalits de rtractation17.
17 Cest toujours la scurit des paiements qui pose le plus de problmes, mme si la citation de cet item ne cesse de diminuer au fil du temps. Pour un quart des internautes, dsormais, aucune des modalits proposes ne fait hsiter (+ 10 points par rapport 2005). Les freins semblent donc de moins en moins prgnants. Au sein des internautes, ce sont les ouvriers (51%) et les moins diplms (42% des non-diplms et des titulaires du Bepc) qui craignent le plus les problmes lis la scurit des paiements. Dans quasiment tous les groupes, en quelques annes, cet argument a perdu du poids. A contrario, 30% des internautes diplms du suprieur, cadres ou gs de 25 39 ans considrent quaucun des lments proposs nest susceptible de les faire hsiter acheter sur la Toile. Etude CREDOC Paris 2009.
_________________________________________________________________________________________________________________
13/ 133
1.4
1.4.1
Les initiatives de ltat vis--vis du numrique

Le Rapport France Numrique
Acteur majeur de lconomie numrique en Europe, la France dispose du soutien de ltat, bien que le projet de carte didentit lectronique (CNIe) ait t retard. Le rapport France Numrique 2012 , rdig par les quipes dEric Besson18, alors Secrtaire dtat, dtaille ainsi 154 mesures ou Actions destines favoriser les initiatives. Parmi lesquelles un engagement vis--vis de la confiance sur le net Ltat doit tre par ailleurs pilote dans la dfinition des mthodes de scurisation et de niveaux de scurit standard, utiliss par lensemble des acteurs publics et privs. Lusage des certificats et de la signature lectronique pourrait tre une des solutions promouvoir. Les certificats permettent en effet de garantir la protection de laccs aux donnes personnelles. La signature lectronique permet par ailleurs de transposer le droit de lcrit et de la signature manuscrite lre du numrique. Elle pourra avoir par exemple une application concrte dans des outils transactionnels comme la carte Ssame Vitale V2. Les actions suivantes visent ltablissement dun cadre la fois juridique et technique pour favoriser la srnit des changes19 dans le monde numrique :
Action n78 : Dvelopper lusage de lauthentification pour le grand public. o Gnraliser lenvoi daccus de rception lectronique pour les services en ligne. o Proposer partir de 2009 pour ladministration lectronique des solutions de signature lectronique simples et gratuites pour les services qui le ncessitent. o tudier avant la fin de lanne, les conditions dimplmentation des fonctions dauthentification et de signature lectronique sur la carte Ssame Vitale V2. Action n76 : Dployer partir de 2009, la carte nationale didentit lectronique, sur la base dun standard de signature lectronique fortement scuris, pour atteindre, terme, un objectif de 100 % de citoyens titulaires dune carte nationale didentit lectronique. o La carte nationale didentit lectronique, contribue refonder le lien entre ltat et le citoyen. Internet peut ainsi davantage faciliter la participation directe des citoyens aux processus dcisionnels publics, via notamment lorganisation de consultations grande chelle. Internet peut permettre la mobilisation dun nombre important de personnes, travers un systme de ptition en ligne, respectueux de la loi informatique et liberts.
1.4.2
En attendant la suite donne au recours port auprs du Conseil Constitutionnel, la Loi dOrientation et de Programmation pour la Performance de la Scurit Intrieure (LOPPSI) 20 a t adopte par lAssemble Nationale le 21 dcembre 2010. Son article 226-4-1 modifie larticle 226-4 du code pnal en caractrisant le dlit dusurpation didentit sur internet :
Art. 226-4-1. Le fait dusurper lidentit dun tiers ou de faire usage dune ou plusieurs donnes de toute nature permettant de lidentifier en vue de troubler sa tranquillit ou celle dautrui, ou de porter atteinte son honneur ou sa considration, est puni dun an demprisonnement et de 15 000 damende. Cette infraction est punie des mmes peines lorsquelle est commise sur un rseau de communication au public en ligne.
Identit sur internet
France numrique 2012 - Plan de dveloppement de l'conomie numrique. Secrtariat d'Etat la prospective, l'valuation des politiques publiques et au dveloppement de l'conomie numrique. Dans le cadre de la prparation d'un plan de dveloppement de l'conomie numrique, Eric Besson, Secrtaire d'Etat la prospective, l'valuation des politiques publiques et au dveloppement de l'conomie numrique, a t charg par le Prsident de la Rpublique et le Premier ministre d'assurer le pilotage et la coordination de l'ensemble des politiques publiques dans le domaine du numrique. Ce plan repose sur quatre priorits : permettre tous les Franais d'accder aux rseaux et aux services numriques ; dvelopper la production et l'offre de contenus numriques ; accrotre et diversifier les usages et les services numriques dans les entreprises, les administrations, et chez les particuliers ; moderniser la gouvernance de l'conomie numrique dans le sens d'une adaptation des organisations et modes de gestion conus avant la rvolution numrique . Ce plan poursuit en outre trois objectifs : garantir l'accs de tous les Franais Internet haut dbit ; assurer le passage de la France dans le tout numrique audiovisuel avant le 30 novembre 2011 ; rduire la fracture numrique . Le rapport dtaille les 154 actions associes ce plan. http://www.ladocumentationfrancaise.fr/rapports-publics/084000664/index.shtml . Paris Octobre 2008. 19 Accrotre et diversifier les usages et services numriques : Diversifier les usages et les services numriques dans les entreprises, les administrations, et chez les particuliers, cest tout dabord crer un cadre gnral de confiance, qui passe par la gnralisation doutils dauthentification lectronique, linstar de la carte nationale didentit lectronique pour chaque citoyen partir de 2009. 20 http://www.senat.fr/petite-loi-ameli/2010-2011/262.html
18
_________________________________________________________________________________________________________________
14/ 133
Un dlit dj vis par lAction N87 du Rapport Besson :

Action n87 : Introduire loccasion de la loi dorientation et de programmation pour la performance de la scurit intrieure (LOPPSI). o Un dlit dusurpation didentit sur les rseaux de communications lectroniques. o Garantir la confiance et la scurit des changes de donnes personnelles certifies en ligne, qui plus est pour des usages volus tels que des inscriptions ou ouvertures de comptes. o Lgitimit aux systmes de gestion des identits qui se proposeront de lutter contre les dlits dusurpation didentit ou de vol ou dtournement de donnes personnelles
Usurpation et fraude lidentit sont donc considres comme des freins au dveloppement de lconomie numrique, sachant la difficult de croiser les fichiers. Pourtant, lIGA a conduit une mission visant constituer une base nationale des pices didentit perdues ou voles accessibles aux services de ltat21. Comme de nombreuses dmarches administratives sont ralises en ligne actualisations de droits, changement dadresse, etc. lautomatisation des saisies constituerait un important gain de temps et permettrait de rpertorier les titres frauduleux. La gestion de lidentit constitue un enjeu auquel les fournisseurs de certificats devront rpondre ; la Commission Nationale Informatique et Libert (CNIL) souhaitant que le minimum de donnes soient transmises aux prestataires en ligne, c'est--dire seulement celles intressant leur activit : date dobtention du permis de conduire pour un loueur de voiture, attestation de majorit pour un candidat aux jeux en ligne ou montant de limpt pour ladministration fiscale. La multiplicit didentit a t bien dtaille 22 par le consortium FC dans le cadre dun Livre Blanc23, notamment la notion de fdration didentits qui peut quant elle se dfinir comme la gestion dun ensemble d'identits par un ensemble d'organisations distinctes et inscrites dans un mme Cercle de Confiance ou des cercles distincts. Elle permet aux utilisateurs de se connecter une seule fois en utilisant un seul identifiant pour avoir accs plusieurs services 24. La dlgation permet dauthentifier un internaute par un tiers en minimisant la communication de donnes25 ; lcosystme se btissant autour de fournisseurs didentit et dattributs transmis de faon discrtionnaire et avec le consentement de lusager. 1.5 Fraude lidentit On recense plus de 200.000 victimes par an dusurpation didentit en France, selon le rapport du CREDOC 2009 ; un prjudice de prs de 4 milliards d'euros26 pour la socit. Selon ltude, le cot individuel moyen d'une usurpation d'identit se monte 2.229 euros, cumulant dtournements (argent, aides sociales, etc.), dmarches et frais gnrs (mdecin, frais postaux). Aprs le remboursement des assurances, le montant moyen restant la charge de la victime est de 1.556 euros, bien que, dans certains cas, l'histoire tourne au drame avec interdit bancaire, perte d'emploi, voire emprisonnement. Prs d'une
21 Ensuite, en matire de pices didentit franaises, lIGA, dans le cadre dune mission relative la fraude lidentit, a travaill notamment sur la constitution dune base nationale des pices didentit perdues ou voles, qui pourrait permettre lensemble des administrations, et notamment aux organismes de scurit sociale, grce une simple consultation distance, de vrifier directement la validit des documents attestant de lidentit des personnes considres. Ministre du budget, des comptes publics et de la rforme de ltat. Dlgation nationale de la lutte contre la fraude. Paris Dcembre 2010. 22 Au cur de la personne, lidentit est une notion hautement sensible et symbolique, tel point quelle na aucune dfinition juridique globale. Dans le dictionnaire de lacadmie franaise, lidentit, dans le domaine juridique, correspond "la personnalit civile dun individu, lgalement reconnue ou constate, tablie par diffrents lments dtat civil et par son signalement". elle se rduit donc largement la sphre rgalienne , comme dans la notion de carte ou document didentit. cette dfinition omet ainsi dautres domaines dutilisation, dans la sphre marchande en particulier. Selon le contexte, la dfinition de lidentit varie. elle nest pas la mme selon que lon se place sur un plan philosophique, sociologique ou encore conomique. Il nexiste pas quune seule identit. tous les individus sont dots de plusieurs identits, qui sont constitues dune somme de donnes personnelles rattaches lindividu. celui-ci peut donc utiliser diffrentes identits selon le contexte, et peut souhaiter que ces identits ne soient pas directement relies entre elles. 23 Livre Blanc Gestion des Identits. Analyse des contextes juridique, socio-conomique et socital. Consortium FC - Janvier 2009 24 Idem 25 Une telle plate-forme pose des problmatiques telles que celles du consentement de la personne, de la conservation des donnes personnelles, des responsabilits des acteurs ou plutt de leur partage des risques, dautant plus que lon sort de la stricte identit de consommateur puisque lintervention de personnes publiques met en jeu le profil de citoyen . Personnes publiques, personnes prives, institutions mixtes coexistent et le-administration est au cur du projet. Idem 26 1,4 milliard de prjudice pour l'Unedic, 1 milliard pour la Caisse Nationale d'Assurance Maladie (CNAM) et 1 milliard pour la Caisse d'Allocations Familiales (CAF) soit un total de 3,874 milliards par an
_________________________________________________________________________________________________________________
15/ 133
victime sur deux avoue tre incapable de savoir comment le fraudeur a russi obtenir ses donnes personnelles alors que 86 % des victimes estiment faire le ncessaire pour se protger des risques, s'inquite le CREDOC.27 1.6 Identit vs attributs Lidentit se dfinit comme un ensemble dattributs28, gnriques ou contextuels ; lidentit civile ntant pas ncessaire pour des transactions en ligne, do lusage rpandu de pseudos. Le concept de profils correspond un regroupement dattributs : dans un contexte, je suis acheteur, dans un autre, assur social, et en troisime lieu, titulaire de compte en banque ou dun dossier mdical. Une alternative au numro INSEE, dont lusage permettait de tracer les accs sur la toile. Ltude consacre aux profils dinternautes par lUniversit de Paris Dauphine (2006)29 totalise une moyenne de 12 comptes par individu : achats, banque, rseaux sociaux .. Chaque profil dpendant du type de service, ltat civil ne constituant nullement un pr-requis.
Extrait de ltude de Caroline Lancelot-Miltgen, Centre de recherche DMSP (Dauphine Marketing Stratgie Prospective 2006). Linternaute cumule quelques 12 comptes, la fois pour ses loisirs et des dmarches administratives.
1.7 Un contexte dquipements favorable La France se situe en tte des usagers dinternet en Europe : 59 millions dabonns mobiles et un taux de pntration suprieur 96%30. Bien quencore minoritaire (22%) la date de cette tude (2011), le parc de smartphones constitue un vecteur de croissance, surtout depuis lapparition des tablettes A4. Compagnons de route de linternaute, elles permettront de procder de multiples activits - achats, rservations,
http://www.lefigaro.fr/actualite-france/2009/10/06/01016-20091006ARTFIG00305-usurpation-d-identite-plus-de-210000-victimes-par-an.php 28 Un attribut est un lment constitutif de lidentit. Juridiquement, il sagit tout simplement des donnes personnelles. Selon le dictionnaire de lAcadmie Franaise, un attribut est ce qui est propre et particulier un tre, quelqu'un ou quelque chose0 . Le Larousse en donne la dfinition suivante : une proprit distincte, mesurable, physique ou abstraite appartenant nommment une entit (individu ou autre) . Les attributs peuvent prendre des formes trs varies : tat civil de la personne (nom, prnom, date de naissance, etc.) ; qualits (ex. diplme, nationalit, fonction, employeur) coordonnes postales, tlphoniques, e-mail, etc. ; coordonnes bancaires ; donnes de fidlit ; les certificats qui sont dlivrs par des organismes, des services ; les contenus publis partir doutils dexpression (ex. blogs, avis, wikis) ; les achats (ou ventes) raliss chez certains marchands ; les donnes diffuses au travers de rseaux sociaux, sites de rencontre ou mondes virtuels ; les informations fournies par des services de gestion de notorit et de rputation ; etc. Idem 29 Caroline Lancelot-Miltgen, doctorante en marketing, centre de recherche DMSP (Dauphine Marketing Stratgie Prospective). Paris 2006 30 59 M dabonns mobiles en France dont 16Msont quips de la 3G. Mais galement 39 M dinternautes quips 98% avec une liaison haut dbit 9 franais sur 10 quips dun mobile. 1 franais sur 5 (21,3%) est quip dun Smartphone.
27
_________________________________________________________________________________________________________________
16/ 133
eBanking ncessitant lavenir une authentification forte31 , vu la vulnrabilit de lquipement32. Lapproche Gallery33 des oprateurs tlphoniques constitue une piste de faon promouvoir des services didentification lectronique interoprables. Mais cette authentification forte est encore peu dveloppe, faute dergonomie et dun support adapt. Le mot de passe dynamique ne constitue pas un succs, vu la ncessit de dispositifs complmentaires - grille de chiffres, calculette, tlphone qui freinent son usage ; linternaute tant, par dfinition, conome de ses gestes34. Peu de solutions se dmarquent ce jour, faute de mcanisme fort, combinant ergonomie et cadre lgal. Mais on anticipe que des systmes intgrs la Paypal , ne ncessitant pas doutils complmentaires35, seront bien adapts la dmarche des internautes. Ainsi, la biomtrie ne suscite pas de rticence, du moment que la transaction est ralise en local (Match On Card) ; elle rend confiant les internautes dans la mesure o ils ont le sentiment dune proprit de leur authentification pour viter lusurpation.
Comparativement, lauthentification avec mot de passe dynamique est beaucoup moins pratique : 31% des internautes utilisateurs de la banque en ligne ny ont jamais eu recours en moyenne, et ils sont 56% seulement lutiliser au moins une fois par mois (avec des divergences assez fortes en fonction des pays : certains pays dEurope du Nord ont des taux de pntration trs levs). Lune des raisons principales en est la perception de la convivialit par ses utilisateurs juge nettement infrieure, tout particulirement dans les pays qui la pratiquent peu. En revanche, la confiance des consommateurs lgard de ce type de solution est forte et assez homogne en Europe, preuve que la mdiatisation des tentatives de fraude et les efforts de pdagogie des banques ont t payants. Livre Blanc FC, idem 32 Mobiles : Un taux dquipement uniformment lev avec un usage homogne. La pntration du tlphone mobile reste assez homogne en Europe. Selon les statistiques fournies par Eurostat : le taux dabonnements mobiles (cartes prpayes incluses) par personne y est en moyenne de 96% dans lEurope des 27. En revanche, aucun diffrentiel dusage notable napparat. La consommation de services mobiles reste majoritairement centre sur la tlphonie et dans une moindre mesure lutilisation de messages courts (SMS). La consommation de services mobiles (Data) reste encore le fait dune fraction trs minoritaire (value moins de 10% des utilisateurs). Le m-commerce reste pour le moment trs embryonnaire. 33 Avec le dveloppement de lInternet mobile, les oprateurs mettent en place un portail multi oprateurs, Gallery. Vritable carrefour daudience des mobinautes, il offre un ensemble de services mobiles interactifs et de contenus numriques fournis par des diteurs et rgls par lutilisateur mobile sur sa facture mobile : 60M de services ont ainsi t facturs en 2009 avec une forte croissance continue (+33%). 34 Comparativement, lauthentification avec mot de passe dynamique est beaucoup moins pratique : 31% des internautes utilisateurs de la banque en ligne ny ont jamais eu recours en moyenne, et ils sont 56% seulement lutiliser au moins une fois par mois (avec des divergences assez fortes en fonction des pays : certains pays dEurope du Nord ont des taux de pntration trs levs). Lune des raisons principales en est la perception de la convivialit par ses utilisateurs juge nettement infrieure, tout particulirement dans les pays qui la pratiquent peu. En revanche, la confiance des consommateurs lgard de ce type de solution est forte et assez homogne en Europe, preuve que la mdiatisation des tentatives de fraude et les efforts de pdagogie des banques ont t payants. FC idem. 35 Etude de Gartner : prfrence pour les systmes dauthentification faisant appel un ou deux mots de passe, plutt quune authentification ncessitant ladjonction dun systme matriel ou logiciel pour renforcer la scurit.
31
_________________________________________________________________________________________________________________
17/ 133
TYPOLOGIE DES ACTEURS
2.1 La sphre publique Les services de ltat se situent en tte des sites consults par les internautes. Preuve que la pdagogie de leAdministration porte ses fruits. Comme le remarque une tude de Cap Gemini, Le temps nest plus la conqute mais la fidlisation 36. Prcdant le rapport France numrique 2012 dEric Besson (octobre 2008), lordonnance du 8 dcembre 2005 - et les dcrets relatifs aux Rfrentiel Gnral dInteroprabilit (RGI) et de Scurit (RGS) - avaient dj institu le cadre lgal des changes entre usagers et services public. Ce contexte rglementaire fonde ladministration lectronique37, pilier de la rforme et modernisation de ltat38. Un dcret et un arrt du 18 juin 2009 sont venus prciser les modalits de mise en uvre et dexploitation du site Mon. Service-Public.fr ou MSP. Egalement mis disposition des usagers, un espace scuris de stockage en ligne pour des changes avec ladministration et services tiers39. Larrt de Juin 2009 confirme lintrt de ltat pour la scurit des accs en ligne. En effet, ses services sont accessibles au choix de l'usager, au moyen d'un identifiant et d'un mot de passe qu'il aura librement dtermin ou d'un code d'accs qui lui aura t adress sur son tlphone portable sauf dans les cas o une fonctionnalit ou un service requiert un mode particulier d'identification tel un certificat lectronique . LEtat renonant au numro INSEE40, larrt recommande que Le dispositif d'identification des usagers s'appuie sur une fdration d'identits ne conduisant pas la cration d'un identifiant administratif unique des usagers41. Dans son Article 3, lordonnance recommande, pour la gestion d'accs aux tlservices, lun des modes dauthentification suivants Lidentifiant de connexion choisi par l'usager, le mot de passe choisi par l'usager, le numro de tlphone portable de l'usager, s'il choisit ce mode d'accs, le certificat lectronique de l'usager, s'il choisit ce mode d'accs permettant d'accder aux services qui requirent un niveau d'identification plus lev . Ltat laissant lusager le choix du mode dauthentification (notamment le traditionnel Identifiant / Mot de passe) ; conformment au RGS, chaque site ralise une analyse de risque, permettant de dfinir le niveau de scurit requis pour y
36 e-administration Etude Cap Gemini-Consulting / TNS Sofres. Selon une tude ralise entre le 11 et le 16 juillet 2007 auprs dchantillons reprsentatifs des populations franaises (1000 personnes), anglaises (600 personnes) et allemandes (550 personnes), il ressort que 75 % des internautes interrogs dclarent se connecter aux sites des services publics. Le temps nest plus la conqute mais la fidlisation et lon constate quavec un taux de frquentation rgulire de 28 % (+ 5% par rapport 2006), la France devance la Grande-Bretagne (22 %) et lAllemagne (10 %). Enfin notons que la France est galement en tte en matire de satisfaction des usagers des services publics en ligne (48 % des franais ; 42 % des anglais et 23 % des allemands. (Communiqu Cap Gemini, septembre 2007). 37 Tout usager peut adresser une demande, une dclaration ou produire des documents par voie lectronique. Sauf drogation87, ladministration, qui doit avoir accus rception de la demande ou de linformation de lusager (si laccus de rception nest pas instantan, elle doit mettre un accus denregistrement), est alors rgulirement saisie et doit traiter la demande sans exiger de lusager une confirmation ou la rptition de son envoi sous une autre forme. De mme, tout paiement opr dans le cadre dun tlservice peut tre effectu en ligne et doit faire lobjet dun accus de rception et, le cas chant, dun accus denregistrement. Il est noter que laccus de rception ou denregistrement doit tre mis selon un procd conforme aux rgles fixes par le RGS et que la non transmission de laccus de rception ou son caractre incomplet rendent en principe inopposables les dlais de recours lauteur de la demande. Par ailleurs, un dcret qui na toujours pas t adopt ce jour, doit prciser les conditions et les dlais dmission de ces accuss ainsi que les indications devant y figurer. 38 Lordonnance sapplique aux autorits administratives dfinies larticle 1-I comme les administrations de lEtat, les collectivits territoriales, les tablissements publics caractre administratif, les organismes grant des rgimes de protection sociale relevant du code de la scurit sociale et du code rural ou mentionns aux articles L. 223-16 et L. 351-21 du code du travail et les autres organismes chargs de la gestion dun service public administratif . 39 Notamment les organismes de crdit qui exigent les dclarations dimpts 40Il convient de rappeler que l'utilisation du NIR par un organisme priv est soumise autorisation pralable de la CNIL (article 25-I-6 de la loi informatique et libert) et que la doctrine de la CNIL tend cantonner l'utilisation de cet identifiant au secteur social. (Gwendal Le Grand CNIL, Fvrier 2011) 41 L'accs aux tlservices des partenaires par le biais de ce tlservice est facultatif et non exclusif d'autres canaux d'accs. L'utilisation de l'espace de stockage est place sous le contrle et la responsabilit de son titulaire, qui peut le dsactiver ou le clore tout moment. Hors les cas prvus par la loi, seul l'usager peut accder aux donnes contenues dans son espace personnel de stockage. Les partenaires ne peuvent se voir communiquer par le biais de cet espace que les informations et documents dont ils ont connatre en vertu d'un texte lgislatif ou rglementaire.
_________________________________________________________________________________________________________________
18/ 133
accder42. La DGME pilote le rfrencement RGS des produits et services de scurit, en dfinissant leur cahier des charges et en assurant le pilotage de lopration43 . Le baromtre CDC ACSEL (2009) confirme que les internautes sont familiers des sites de ladministration, notamment pour la dclaration dimpts et les prestations sociales.
Scuris aujourd'hui par une procdure de type mot de passe/identifiant, MSP proposera prochainement un mcanisme d'authentification forte - CNIE, IDNUM - qui donnera accs de multiples services. Lobjectif tant d'utiliser les solutions rfrences RGS en fonction du niveau de scurit requis par les services MSP. Lergonomie joue un rle majeur pour que sinstaure la confiance, quil sagisse des services de ltat ou du secteur priv. Rappelons que la moiti des internautes ne parviennent pas conclure une transaction. Ainsi lhomognit des visuels et modalits de connexion constituent-ils un facteur de succs. Concernant les coffres-forts lectroniques, les internautes se montrent encore rservs ; la facult de dposer en ligne des informations sensibles telles que bulletins de salaires ou dclarations de revenus na pas aujourdhui sduit nos concitoyens44.
2.1.1 Fiche dtat civil, extrait dacte de naissance et extrait de casier judiciaire
Les donnes dtat civil peuvent maintenant tre demandes en ligne. Bien que la communication dextrait de casier judiciaire dun tiers relve du pnal45, elle ne prsente aucune difficult pour qui connait mairie et date de naissance de son voisin.
42 Art.4. Les destinataires ou catgories de destinataires habilits recevoir la communication de ces donnes sont raison de leurs attributions respectives et destination des organismes de la branche concerne : la Caisse des dpts et consignations, direction des retraites la Caisse des dpts et consignations, direction du dveloppement du territoire la Caisse nationale d'assurance vieillesse des travailleurs salaris la Caisse centrale de la mutualit sociale agricole la Caisse nationale d'allocations familiales la Caisse nationale de l'assurance maladie des travailleurs salaris l'Agence centrale des organismes de scurit sociale Ple emploi. 43 Par ailleurs, lordonnance prvoit que les actes des autorits administratives pourront dsormais faire lobjet dune signature lectronique. A cet gard, larticle 8 de lordonnance prcise que la signature nest valablement appose que par lusage dun procd, conforme aux rgles du rfrentiel gnral de scurit mentionn au I de larticle 9, qui permette lidentification du signataire, garantisse le lien de la signature avec lacte auquel elle sattache et assure lintgrit de cet acte . On peut remarquer que cette dfinition reprend les mmes fonctions que la signature prvue par le code civil pour les actes en droit priv. 44 Les utilisateurs se mfient de tout stockage de donnes, mme volontaire, sur un espace ddi en ligne de type porte-documents ou coffre-fort47. Dans le cas du pilote MSP (mon.service-public.fr), cette fonctionnalit avait t peu utilise, notamment par crainte que tous les sites fdrs puissent avoir accs aux donnes y tant archives (ex. la CAF qui pourrait avoir accs ma dclaration dimpt sur le revenu). 45 Avertissement. Lextrait de Casier Judiciaire ne peut tre demand que par la personne quil concerne ou par son reprsentant lgal sil sagit dun mineur ou dun majeur sous tutelle. Il ne peut en aucun cas, mme avec laccord du demandeur, tre dlivr un tiers (Article 777 du Code de Procdure
_________________________________________________________________________________________________________________
19/ 133
La Fiche dtat civil
Les fiches d'tat civil n'existent plus depuis fin 2000. Selon les cas, elles sont remplaces soit par la photocopie de la carte nationale d'identit, soit celle du livret de famille.
LActe de Naissance
Lacte de naissance est un document juridique attestant de ltat civil; un document ncessaire lors de certaines dmarches administratives, telles que le mariage et autrefois le renouvellement du passeport. Emanant des services de ladministration, cest un acte authentique, sign par un officier dtat civil. Aujourdhui, le terme renvoie au document officiel dlivr la suite d'une dclaration de naissance. Les mentions marginales sont les vnements d'tat civil qui se sont produits aprs la rdaction de l'acte d'tat civil. Sur un acte de naissance, ce sont, par exemple, les informations relatives aux vnements suivants :
Reconnaissance par un parent Acquisition de la nationalit franaise Modification du nom de famille, Mariage, PACS Divorce, Dcisions judiciaires relatives la capacit de l'intress, Dcs
La copie intgrale de lacte de naissance - ou extrait avec filiation ne peut tre demande que par la personne concerne par l'acte ( condition d'tre majeure), son reprsentant lgal ou son conjoint, ses ascendants46 (parents, grands-parents) ou descendants (enfants, petits-enfants), de mme que certains professionnels lorsqu'un texte les y autorise (avocats, pour le compte de leur client par exemple). Lextrait sans filiation peut tre demand par toute personne, sans avoir justifier sa demande ou sa qualit. Lextrait dacte de naissance peut tre dlivr en ligne l'intress, s'il est majeur ou mancip, son conjoint, ses ascendants ou descendants, ou une tierce personne du moment quil atteste de son identit. Pourtant, nous sommes ici dans un contexte dclaratif, les donnes dtat civil communiques ntant pas vrifies par les services de ltat.
Le Casier Judiciaire
Le service du Casier Judiciaire National (CJN)47 mobilise 300 personnes qui dlivrent 5 millions dextraits par an.48 Comme pour les actes dtat civil, les agents de ltat vrifient la cohrence des informations communiques - lieu et date de naissance avec les donnes des registres mais sans contrler lidentit du demandeur.
2.1.2 Formulaires CERFA
Tlchargeables depuis les sites de ladministration, les formulaires CERFA49 doivent tre remplis par les usagers mais sans que ces donnes soient vrifies par les agents de ltat. Il est donc envisag quils soient renseigns automatiquement par lactivation dun certificat dauthentification, CNIe50 ou IDNUM.
Pnale. Se faire dlivrer lextrait de Casier Judiciaire dun tiers est sanctionn par la loi (Article 781 du Code de Procdure Pnale. Lidentit que vous indiquerez sera vrifie par le Service. Elle doit tre rigoureusement conforme votre tat civil. 46 ou quil exerce son gard lautorit parentale, quil ait t admis sa tutelle ou sa curatelle, ou quil en est reu mandat 47 http://www.vie-publique.fr/documents-vp/casier.htm 48 Sur la base dun rythme quotidien de 3000 tlcopies, 7000 courriers et 2000 appels tlphoniques 49 12 millions de formulaires sont transmis chaque anne 50 Le " Cerfa dynamique ", C'est un formulaire Cerfa que l'on remplit en ligne et que l'on paie avec le "timbre fiscal dmatrialis" que l'ANTS a mis en place depuis 4 mois et qui fonctionne pour l'Office Franais de l'Immigration et de l'intgration, qui reprsente dj plus de 20 % des timbres Visa VLS/TS (Visa Long Sjour/valant Titre de Sjour). la fin de l'anne, on recensera quelque 10 millions de timbres fiscaux dmatrialiss." Le Cerfa dmatrialis permet au citoyen de remplir son dossier. Ensuite il demande un rendez-vous avec la mairie o il se trouve et o il retrouvera tout son dossier. Prfet Raphal Bartolt . Colloque du 8 mars 2011, sur la carte nationale d'identit lectronique. Maison de la Chimie, Paris
_________________________________________________________________________________________________________________
20/ 133
2.2
2.2.1
Le domaine sant
La Carte Vitale
La carte Vitale a constitu lun des grands chantiers de dmatrialisation de ltat. Elle tmoigne dun important gain de productivit pour le traitement des feuilles de soin. Lanc en 1991, le projet visait une conomie de 2 Milliards de Francs, 60,000 techniciens tant affects la saisie manuelle dun systme informatique centralis appel LASER51. Aprs 20 ans, les valuations sont les suivantes : saisie dun formulaire papier 1,74 euros contre seulement 0,27 euros pour la FSE52 ; soit, un gain de 1,5 milliards deuros pour la CNAM, sur la base dun milliard de feuilles par an. Le consentement du patient, par prsentation de la carte, constitue sa premire utilisation mais dautres applications mdicales sont en train de se constituer ; elles ncessiteront un mcanisme dauthentification forte53 :
Le DMP : Dossier Mdical Personnel. Bornes services de la sphre sociale (CNAMTS, MSA, CNAV, CAF, ) : consultation de donnes personnelles caractre priv. Assurance maladie : nombreux services en cours de dfinition - protocole de soins, programme hpital, services AMC. qui ncessiteront le consentement de lassur.
Quels seront les procdures dauthentification de patients : Carte Vitale ? CNIe ? Certificats IDNUM ? Bien que la Vitale 2 ne dispose pas de certificats qualifis- le support plastique tant envoy par la Poste ; un handicap par rapport au cahier des charges IDNUM, qui exige une dlivrance en face face elle dispose dune forte lgitimit vis--vis de ces services. Les complmentaires sant pourraient reprsenter un march important pour lauthentification forte, si les assureurs envisageaient de contrler laffiliation du demandeur lors dune prestation de soins. Les cartes complmentaires sant bnficieront-elles dune procdure dauthentification par code PIN lavenir ? Ou seront-elles utilises conjointement avec des certificats didentit - CNIe ou IDNUM - ? Mais exigera-t-on de telles formalits en pharmacie et face au professionnel de sant ?
Le Dossier Mdical Personnel
Cr par la loi du 13 aot 2004, le Dossier Mdical Personnel (DMP) est un service destin coordonner le parcours mdical. Cest dans cette perspective qua t cre lASIP Sant (Agence des Systmes dInformation Partags de sant) en sappuyant sur un cadre national : rfrentiels dinteroprabilit, identifiant national de sant, mobilisation des acteurs, accompagnement des utilisateurs54. Les chantiers sont nombreux : accs aux informations de sant, encadrement des actes de tlmdecine, transmission des comptes-rendus de biologie et dhospitalisation, volution des logiciels de cabinets mdicaux pour viter la double saisie et faciliter lintgration doutils daide la dcision. Le patient constitue la cl de voute du dispositif dans la mesure o il reste matre de son ouverture et des conditions d'accs. Le procd se positionne donc comme un catalyseur pour la modernisation et recherche dune meilleure efficience du systme de sant55. Cest partir du DMP que le patient dfinit les droits daccs aux PS comme de ne pas livrer des donnes traitant de sa vie prive. Inaugur en Mars 2011, le DMP ncessite une procdure denrlement auprs du personnel de sant (PS), luimme authentifi par une carte (CPS) qui permet de documenter ses accs. Lors de louverture, un
Les enjeux de la dmatrialisation des feuilles de soin sont conomiques. En 1991 selon un rapport de Gilles Tab, le cot de gestion d'une feuille de soins papier tait estim entre 15 et 20 francs. En 1998, l'assurance maladie esprait que SESAM-Vitale entrainerait, en rgime de croisire, une conomie annuelle des charges de deux milliards de francs. En 1998, 60 000 techniciens saisissaient les feuilles de maladie dans le systme informatique national LASER. (Note Wikipedia) 52 Feuille de soin lectronique 53 Les applications envisages sont les suivantes : DMP (contrat hbergeur, habilitation des PS consulter le DMP,), protocole de soins,
51
entente pralable, demande de prise en charge AMC, dlivrance de traitements/soins particuliers en Etablissements de Sant, Intgrit et confidentialit forte pour la transmission de donnes mdicales caractre personnel
54 55
http://www.dmp.gouv.fr/web/dmp/actualite-dmp/le-projet-dmp http://www.dmp.gouv.fr/web/dmp/actualite-dmp/le-projet-dmp
_________________________________________________________________________________________________________________
21/ 133
INS (Identifiant National de Sant) est attribu au patient, mais le PS ne contrle pas son identit. Parmi les moyens daccs au DMP : CNIe56, Carte Vitale, et IDNUM. Mais aucune dcision na encore t prise pour privilgier lun de ces dispositifs.
La tlmdecine
Encadre par la Loi (HSPT) 57 no 2009-879 du 21 juillet 2009 portant rforme de lhpital et relative aux patients la sant et aux territoires, la tlmdecine est dcrite par lArt. L. 6316-1. comme une forme de pratique mdicale distance utilisant les technologies de linformation et de la communication. Elle met en rapport, entre eux ou avec un patient, un ou plusieurs professionnels de sant, parmi lesquels figure ncessairement un professionnel mdical et, le cas chant, dautres professionnels apportant leurs soins au patient. Elle permet dtablir un diagnostic, dassurer, pour un patient risque, un suivi vise prventive ou un suivi postthrapeutique, de requrir un avis spcialis, de prparer une dcision thrapeutique, de prescrire des produits, de prescrire ou de raliser des prestations ou des actes, ou deffectuer une surveillance de ltat des patients. La dfinition des actes de tlmdecine ainsi que leurs conditions de mise en uvre et de prise en charge financire sont fixes par dcret, en tenant compte des dficiences de loffre de soins dues linsularit et lenclavement gographique. Visant le droit une mdecine quitable pour chacun, quelque soit sa situation gographique, la tlconsultation se propose de soutenir le systme de soins traditionnel, notamment dans les zones sousmdicalises, une pratique courante dans des pays comme les tats-Unis et la Suisse. Les dcrets dapplication58 de la Loi HSPT, qui dtaillent les modalits de mise en uvre de la tlmdecine, ncessiteront-ils lavenir lauthentification forte des patients et de documenter leur consentement vis--vis de lAssurance Maladie et des complmentaires ? Il est encore prmatur de proposer une rponse aussi contentons-nous de rappeler quelques dfinitions : Art.R. 6316-1.-Relvent de la tlmdecine, dfinie l'article L. 6316-1, les actes mdicaux, raliss distance, au moyen d'un dispositif utilisant les technologies de l'information et de la communication. Constituent des actes de tlmdecine :
1 La tlconsultation, qui a pour objet de permettre un professionnel mdical de donner une consultation distance un patient. Un professionnel de sant peut tre prsent auprs du patient et, le cas chant, assister le professionnel mdical au cours de la tlconsultation. Les psychologues mentionns l'article 44 de la loi n 85-772 du 25 juillet 1985 portant diverses dispositions d'ordre social peuvent galement tre prsents auprs du patient ; 2 La tl-expertise, qui a pour objet de permettre un professionnel mdical de solliciter distance l'avis d'un ou de plusieurs professionnels mdicaux en raison de leurs formations ou de leurs comptences particulires, sur la base des informations mdicales lies la prise en charge d'un patient ; 3 La tlsurveillance mdicale, qui a pour objet de permettre un professionnel mdical d'interprter distance les donnes ncessaires au suivi mdical d'un patient et, le cas chant, de prendre des dcisions relatives la prise en charge de ce patient. L'enregistrement et la transmission des donnes peuvent tre automatiss ou raliss par le patient lui-mme ou par un professionnel de sant ; 4 La tlassistance mdicale, qui a pour objet de permettre un professionnel mdical d'assister distance un autre professionnel de sant au cours de la ralisation d'un acte ; 5 La rponse mdicale qui est apporte dans le cadre de la rgulation mdicale mentionne l'article L. 6311-2 et au troisime alina de l'article L. 6314-1.
Jeanne BOSSI, Secrtaire gnrale de l'ASIP Sant ; Colloque du 8 mars 2011, sur la carte nationale d'identit lectronique. Maison de la Chimie. " terme, la CNIe pourrait tre un moyen offert au citoyen pour s'identifier et s'authentifier pour grer sur l'Internet ses donnes de sant. videmment, nous pensons au dossier mdical personnel et la possibilit pour le citoyen, ds lors qu'il serait dot de cette CNIe de pouvoir accder ses donnes de sant et les grer en direct. Par exemple crer un DMP, ce que nous ne pouvons faire aujourd'hui parce qu'il n'y a pas de titre scuris d'identit pour le citoyen. "
56 57
http://www.legifrance.gouv.fr/jopdf/common/jo_pdf.jsp?numJO=0&dateJO=20090722&numTexte=1&pageDebut=12184&pageFin=12244 58 JORF n0245 du 21 octobre 2010. Dcret n 2010-1229 du 19 octobre 2010 relatif la tlmdecine http://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000022932449&dateTexte=&categorieLien=id
_________________________________________________________________________________________________________________
22/ 133
La section 2 du dcret Conditions de mise en uvre dtaille prcisment les modalits de consultation comme les mesures de scurit devant tre envisages :
Art.R. 6316-2.-Les actes de tlmdecine sont raliss avec le consentement libre et clair de la personne, en application notamment des dispositions des articles L. 1111-2 et L. 1111-4. Les professionnels participant un acte de tlmdecine peuvent, sauf opposition de la personne dment informe, changer des informations relatives cette personne, notamment par le biais des technologies de l'information et de la communication. Art.R. 6316-3.-Chaque acte de tlmdecine est ralis dans des conditions garantissant : 1a) L'authentification des professionnels de sant intervenant dans l'acte ; o b) L'identification du patient ; o c) L'accs des professionnels de sant aux donnes mdicales du patient ncessaires la ralisation de l'acte ; 2 Lorsque la situation l'impose, la formation ou la prparation du patient l'utilisation du dispositif de tlmdecine. Art.R. 6316-4.-Sont inscrits dans le dossier du patient tenu par chaque professionnel mdical intervenant dans l'acte de tlmdecine et dans la fiche d'observation mentionne l'article R. 4127-45 : 1 Le compte rendu de la ralisation de l'acte ; 2 Les actes et les prescriptions mdicamenteuses effectus dans le cadre de l'acte de tlmdecine ; 3 L'identit des professionnels de sant participant l'acte ; 4 La date et l'heure de l'acte ; 5 Le cas chant, les incidents techniques survenus au cours de l'acte.
Art.R. 6316-5.-Les actes de tlmdecine sont pris en charge dans les conditions prvues aux articles L. 162-1-7, L. 162-14-1, L. 162-22-1, L. 162-22-6, L. 162-32-1 et L. 165-1 du code de la scurit sociale.
Donc un dispositif scuris visant la mise en relation des parties, notamment le consentement exprs du patient dont la Section 3 (Organisation) prcise quil peut tre exprim par voie lectronique. Des dispositions qui vont profondment modifier lco-systme mdical de certaines rgions, peu riches en personnels de sant. La tlconsultation devenant un acte de soins part entire, prise en charge par l'Assurance-maladie, pratique jusqu'ici interdite en l'absence de contact physique avec le mdecin. Ce dcret professionnalise une activit qui fait dj flors sur le web, grce aux sites de tl-mdecine qui dlivrent des conseils mdicaux personnaliss59 ; en majorit des avis pralables une consultation60. En fonction du site, les prestations sont factures avec possibilit d'abonnement. Les mutuelles complmentaires ayant flair le filon en proposant des conseils gratuits leurs adhrents61 . Les dispositions du dcret vont permettre d'aller bien plus loin ; les praticiens envisageant des communications par webcams coupls des systmes experts. Lexemple de la socit suisse Medgate62 80 mdecins, gnralistes et spcialistes, spcialement forms, 4200 actes /jour en priode de pointe - qui totalise 4,2 millions de clients abonns par les mutuelles, laisse prsager de limportance du march.
59 Pionnier dans ce domaine, le Dr Loc tienne, fondateur de Docteurclic, avait lanc ce type de service en 2000 sur le Web, et mme ds 1987 sur Minitel. D'autres ont embray. Les changes se font via une plate-forme scurise, avec une rponse en moins de 24 heures. Mdecine gnrale, suites opratoires, dermatologie, pdiatrie Nous rpondons des questions trs varies de pratique quotidienne, indique le Dr Frdric Dussauze, l'un des trois fondateurs de MedecinDirect, qui a ouvert fin 2008. Voir le Figaro Sant Des conseils mdicaux personnaliss sur Internet. Sandrine Cabut 26/10/2010 http://www.lefigaro.fr/sante/2010/10/24/01004-20101024ARTFIG00242-des-conseils-medicaux-personnalises-sur-internet.php 60 Le site Depechmed, ouvert depuis avril, s'est lui centr sur les complments d'information aprs consultation ; pour expliquer un diagnostic, les effets d'un traitement 61 MedecinDirect a nou un partenariat avec le groupe mutualiste Crdit mutuel-MTRL, grce auquel un million de ses adhrents vont bnficier gratuitement des conseils mdicaux en ligne 62 http://www.medgate.ch/
_________________________________________________________________________________________________________________
23/ 133
Face au diagnostic plus ou moins fiable sur internet, la tlmdecine va prolonger lexercice de praticiens libraux connaissant dj leurs patients, dsireux dassurer un suivi sans ncessairement se dplacer. Mais on ne peut exclure des appels auprs dun mdecin de garde, lors de priodes fries, donc une relation entre parties ne se connaissant pas au pralable. Si lon considre les drives ou litiges qui pourraient survenir suite des diagnostics imprcis, on anticipe la ncessit de mise en uvre dune procdure scurise pour constituer des lments de preuve : identification du patient, expression du consentement, accs au DMP, rdaction dordonnance, prise en charge par lAssurance Maladie et complmentaires .... Un mcanisme complexe quil est prmatur de chiffrer, mais qui pourra mettre en uvre des mcanismes dauthentification forte et de signatures.
_________________________________________________________________________________________________________________
24/ 133
2.3
2.3.1
La sphre bancaire
Banques de rseaux
Le rapport entre dtenteurs de compte et banques se rsume trois modes de transactions : consultation, transaction et contractualisation ; ce dernier consignant un engagement juridique entre les parties. Le taux de bancarisation63 des franais est lun des plus levs dEurope64 ; 75% de nos concitoyens consultant rgulirement leurs comptes sur internet65. Prs de 24 % dentre eux dtenant des comptes dans plusieurs tablissements (source IFOP), une flexibilit qui ncessite des outils de consultation performants.
Consultation, transactions
Laccs aux comptes par internet ou eBanking est traditionnellement bas sur une authentification faible de type identifiant/mot de passe. Un niveau de scurit qui restreint fortement les possibilits de linternaute : virements limits, rfrencement du destinataire avant virements, impossibilit de gnrer lIBAN dun tiers, moins de le renseigner au pralable, etc... Pour toute activit touchant aux valeurs mobilires, la confirmation du mot de passe est requise. Conscients des risques dusurpation, les tablissements brident les oprations, dans la mesure o le titulaire pourra les rpudier et rclamer la restitution de sommes dtournes. On ne peut qutre tonn par le taux lev de connexions aux comptes en banque (80%, source Baromtre CDCACSEL), vu les maigres fonctionnalits du eBanking.
Contractualisation
Faute de certificats de signature, la souscription en ligne de produits financiers est limite, bien que les franais soient trs actifs sur leurs comptes66. La majorit des assurances-vie, Plans ou Comptes Epargne Logement, Livret A, CODEVI tant majoritairement signe en prsence de conseillers, dont la pdagogie constitue un facteur cl de conclusion du contrat. Mme constat pour les prts importants - biens immobiliers ou rachats de crdits - ; les lments de contrat taux, frais, pnalits, hypothque. sont ngocis auprs du conseiller, jamais sur le net. A titre dexemple, le pourcentage de Livrets A du Crdit Agricole souscrits en ligne reprsente une infime minorit des 4-5 millions de contrats attribus chaque anne, vu la ncessit de prsenter deux pices didentit et une justification de domicile.
Le taux de bancarisation de la population franaise s'lve 99 %, soit l'un des taux les plus levs d'Europe (Rapport Credoc 2010) 74,4 millions de comptes vue en 2008 (+ 8 % en 6 ans). Ils sont destins aux particuliers et aux professionnels (Banque de France). 65 Enqute Ifop 2010 66 Les enqutes donnent les chiffres suivants : 149 millions de comptes terme et comptes d'pargne rgime spcial (livrets, CEL, PEL, LEP...) (source CECEI) 85 % des mnages ont un livret d'pargne (83 % en 2004) et 31 % de l'pargne logement (Insee, enqute patrimoine 2010) Prs de 42 % des mnages dtiennent au moins un produit d'assurance vie ou d'assurance dcs volontaire, contre 35 % en 2004 (Insee, enqute patrimoine 2010) 14,5 millions de personnes possdent un contrat d'assurance vie en 2009. Ils taient 6,3 millions en 1995 (Rapport IGF 2010) 1 308 milliards d'euros, c'est le montant des encours de l'assurance-vie juillet 2010, soit + 92 milliards d'euros collects depuis dbut 2010 (Source FFSA)
63 64
_________________________________________________________________________________________________________________
25/ 133
Les accs internet
Bien que les sites internet soient de plus en plus consults, ils sont considrs comme un canal dinformation, au mme titre que la presse. Les chiffres sont loquents quant la consultation en ligne mais restent fort conservateurs quant il sagit de contractualiser67. Comme le remarque Serge Henri Saint Michel68 les intentions de sinformer ou de souscrire des produits financiers restent plus orientes vers lpargne ou lassurance que vers la consommation en cette priode de sortie de crise Les rsultats montrent quInternet est un mdia cl de linformation, au mme titre que lagence : on oscille autour des 70% dutilisation envisage quel que soit le produit concern. Les scores dInternet sont peine infrieurs aux scores de lagence.. En revanche, lorsquil sagit de souscrire, lagence reste de loin le canal phare : elle est plus de 80% dutilisation envisage tandis quInternet ou le tlphone sont envisags par 1 rpondant sur 2 seulement69. Ainsi le web est-il considr comme un canal dinformation rapide et efficace alors que lagence demeure le moyen du conseil personnalis.
2.3.2 Banque distance / banque en ligne
Labsence de tout contact facial avec les conseillers dagences fait de la banque distance, ou banque en ligne, un candidat idal pour lauthentification forte. Un secteur qui reprsente plus de 2 millions de clients, en progression annuelle de 25%70. Sachant que prs de 20% de cette population souscrit en ligne des produits financiers contre 11 % en 200871, la problmatique des banquiers en ligne est double : ncessit lgale dauthentifier ces clients virtuels lors de louverture de comptes mais surtout documenter toute transaction dmatrialise ; sachant que la banque sur le web est amene croitre, vu la culture internet des nouvelles gnrations mais surtout la modicit des frais de transactions72. Louverture de comptes constitue un droit rgi par lArt. L312-1 du Code Montaire et Financier73. Bien que les tablissements tolrent la copie de pices par courrier ou mail, la Loi No. 90-614 du 12 juillet 1990 relative la participation des organismes financiers la lutte contre le blanchiment des capitaux provenant du trafic des stupfiants constitue un rappel lordre74 Les organismes financiers doivent, avant d'ouvrir un compte, s'assurer de l'identit de leur cocontractant par la prsentation de tout document crit probant. Ils s'assurent dans les mmes conditions de l'identit de leur client occasionnel qui leur demande de faire des oprations dont la nature et le montant sont fixs par le dcret prvu l'article 24 . Ils se renseignent sur l'identit vritable des personnes au bnfice desquelles un compte est ouvert ou une opration ralise lorsqu'il leur apparat que les personnes qui demandent l'ouverture du compte ou la ralisation de l'opration pourraient ne pas agir pour leur propre compte. Une relation ambige75 entre client et banque bien dtaille par le rapport76 du consortium FC. Pareillement, un livre blanc de la Banque de France77 rappelle que le dossier douverture de compte, comprenant notamment lidentifiant et le mot de passe du client (ou son quivalent) peut tre envoy par la poste, si possible avec accus
http://www.marketing-professionnel.fr/chiffre/banque-internet-multicanal-agence-courrier-01-2011.html La banque et le multicanal : Internet en tte ! 69 Ainsi, plus de 17% des Franais envisagent de sinformer sur un livret ou un compte terme dans lanne venir, et 14% envisageraient dy souscrire. Ils sont 16% envisager de sinformer sur une assurance (automobile, habitation) et un peu plus de 13% envisager dy souscrire. Ils sont prs de 15% souhaiter sinformer sur une carte ou un compte courant, et 11% envisager dy souscrire. Enfin ils ne sont que 8% souhaiter sinformer sur un crdit la consommation dans lanne venir et 6% envisager dy souscrire. 70 Tous acteurs confondus, la banque en ligne totalise prs de deux millions de comptes en France aujourd'hui avec une croissance annuelle denviron 25%, dont plus de la moiti des adhrents seront recruts par le web, et non plus par les courtiers (donc sans aucun contact physique avec les guichets). Etude Afnor Standarmedia. Paris 2007 71 Benchmark Group, fvrier 2010. Enqute auprs de 4 378 clients de banques franaises 72 Deux autres tablissements totalisent prs dun demi-milliard d'encours en rduisant leurs droits dentre 0,5% au lieu des 3% perus gnralement sur les contrats dassurance vie. Un point non ngligeable dans la mesure o les montants ngocis sur le web atteignent 20,000 Euros contrairement aux 4,000 Euros contracts en moyenne par les courtiers ; ce qui confirme lattrait de populations averties et relativement aises, pour la banque en ligne. 73 Toute personne, capable, majeure, qui peut justifier de son identit et de son domicile en France, a droit un compte bancaire. 74 Chapitre II Autres obligations de vigilance des organismes financiers. Art. 12. 75 Livre Blanc Gestion des Identits. Analyse des contextes juridique, socio-conomique et socital. FC Paris 2010 76 Il existe des obligations propres au secteur financier en matire de justification de lidentit du client. Il est notamment ncessaire de mettre en application les dispositions de la loi du 12 juillet 1990 en matire didentification lors de lentre en relation daffaires avec un client qui nest pas physiquement prsent. En particulier, le client doit prsenter une pice didentit et, normalement, la banque doit effectuer un contrle de visu. Nanmoins, il est aujourdhui tolr denvoyer les copies des pices justificatives par courrier, et mme de les scanner puis les envoyer par e-mail ou les transfrer sur le site de la banque. 77 Banque de France, Internet : quelles consquences prudentielles ? , 2001, disponible ladresse http://www.banquefrance.fr/fr/supervi/telnomot/supervi_banc/lbinet.pdf
67 68
_________________________________________________________________________________________________________________
26/ 133
rception. On remarque souvent que le fonctionnement dun compte - y compris la rception de fonds et dinstruments financiers nest autoris quune fois que la procdure didentification a t acheve . Concernant le contrle doprations douteuses, le rapport remarque qu il est difficile, voire impossible, de savoir si la personne faisant fonctionner le compte est rellement celle qui la ouvert. Larticle 3 de la Directive Europenne sur le blanchiment78 de 2001 rappelle galement le principe d'identification obligatoire sur la base dun document probant. Une prcaution qui vise non seulement louverture de comptes mais galement leur usage, ventuellement au profit dun tiers. En quel cas, ltablissement a lobligation didentifier le bnficiaire. Ainsi est-il conseill dexiger des pices justificatives supplmentaires, des mesures additionnelles de vrification ou de certification des documents fournis ou des attestations de confirmation de la part d'un tablissement relevant de la prsente Directive ou en exigeant que le premier paiement des oprations soit effectu par un compte ouvert au nom du client auprs d'un tablissement de crdit relevant de la Directive . De plus, les mouvements de comptes requirent lattention des tablissements bancaires, notamment pour des transactions gales ou suprieures 15.000 euros. Une proccupation partage par le Code Montaire et Financier dont larticle L. 563-179 rappelle que80 Les organismes financiers ou les personnes vises l'article L. 562-1 doivent, avant de nouer une relation contractuelle ou d'assister leur client dans la prparation ou la ralisation d'une transaction, s'assurer de l'identit de leur cocontractant par la prsentation de tout document crit probant. .. Pratiquement, lors dune demande douverture de compte auprs dun fournisseur de service, la banque X, le client sauthentifiera auprs de divers fournisseurs didentit ou dattributs (agence gouvernementale, oprateur tlcoms, autre banque) pour rcuprer et transmettre tous les documents ncessaires louverture du compte (justificatif de domicile, donnes didentit .81 Ce cadre rglementaire strict confirme la fragilit du dispositif mis en uvre par les banques en ligne : photocopies de CNI et attestations de domicile ou envoi par mail de documents scannriss ; des pices aisment falsifiables vu labsence de vrification dintgrit - bande MRZ, laminat et connexion une base de donnes de titres perdus ou falsifis. Mais la communication de documents en ligne continue reprsenter un problme pour nos internautes, do le faible taux dadhrents nouveaux, moins de 10% des 5 millions de comptes crs chaque anne82.
2.3.3 Le march des titres scripturaux
Les moyens de paiement scripturaux se composent dun dispositif technique et organisationnel 83 destin garantir la validit dune transaction. Ce terme dsigne donc les chques, virements, mandats, TIPs, de mme que les transactions par cartes de crdit.
Directive 2001/97/CE du Parlement europen et du Conseil du 4 dcembre 2001 modifiant la directive 91/308/CEE du Conseil relative la prvention de l'utilisation du systme financier aux fins du blanchiment de capitaux 79 II. - Pour l'application de l'article L. 563-1, les organismes financiers et les personnes mentionns l'article L. 562-1 vrifient l'identit d'une personne physique par la prsentation d'un document officiel en cours de validit portant sa photographie. Ils conservent la copie de ce document ou ses rfrences. Les mentions relatives l'identit vrifier comprennent les nom, prnoms ainsi que les date et lieu de naissance. Outre ces mentions, les rfrences conserver incluent la nature, le numro, les date et lieu de dlivrance du document ainsi que le nom de l'autorit ou personne qui l'a dlivr ou authentifi. 80 Livre Blanc Gestion des Identits. Analyse des contextes juridique, socio-conomique et socital. FC Paris 2010 81 III. - La vrification de l'identit des personnes physiques peut ne pas avoir lieu en prsence de la personne identifier. Dans ce cas, outre l'obtention d'une copie du document exig au II, les organismes financiers et les personnes mentionns l'article L. 562-1 prennent les dispositions spcifiques et adquates ncessaires, en adoptant des mesures parmi l'une au moins des quatre catgories de mesures suivantes : 1Obtenir des pices justificatives supplmentaires permettant d'tablir l'identit du cocontractant ; 2 Mettre en uvre des mesures de vrification et de certification de la copie de la pice officielle d'identit mentionne au II par un tiers indpendant de la personne identifier ; 3 Exiger que le premier paiement des oprations soit effectu par un compte ouvert au nom du client auprs d'un organisme financier tabli dans un Etat membre de la Communaut europenne ou dans un autre Etat partie l'accord sur l'Espace conomique europen ; 4 Obtenir une attestation de confirmation de l'identit d'un client de la part d'un organisme financier tabli dans un Etat membre de la Communaut europenne ou dans un autre Etat partie l'accord sur l'Espace conomique europen. L'attestation mentionne les lments d'identification cits au II, est adresse directement par cet organisme la personne demandant l'identification et prcise le nom et les coordonnes du reprsentant de l'organisme l'ayant dlivre. Cette attestation peut galement tre obtenue d'un organisme financier tabli sur le territoire d'un Etat figurant sur la liste tablie conformment aux dispositions du quatrime alina du IV, qui est en relation d'affaires suivie avec l'organisme financier ou la personne mentionns l'article L. 5621tablis en France et qui dclare avoir procd des mesures d'identification quivalentes celles applicables en France. Les organismes financiers et les personnes mentionns l'article L. 562-1 conservent les documents et les rsultats obtenus la suite des vrifications. 82 Rpartis entre Boursorama, ING, Fortuneo, Monabanq 83 La surveillance des moyens de scripturaux : objectifs et modalits de mise en uvre (2004). Marc Andries, Carlos Martin, Direction des Systmes de paiement. Service de la Surveillance des moyens de paiement scripturaux. Banque de France
78
_________________________________________________________________________________________________________________
27/ 133
Lusage rpandu du chque fait de la France le champion des paiements scripturaux84 - plus de 200 par personne et par an contre 130 en moyenne dans la zone euro , un nombre en croissance annuelle de 5%85. Ainsi, 25% des paiements scripturaux dEurope sont effectus en France ! Par contre, la carte de crdit constitue le moyen de paiement le plus utilis (32 %), bien avant le virement (28 %), le prlvement (25 %) et le chque (14 %). Ce tableau de la Banque de France86 confirme un potentiel important pour des procds base de certificats. Prenons lhypothse que les 3,3 milliards de chques de 2009 - en diminution de 5,6% par rapport 2008 - se rpartiront prochainement 50/50 entre cartes de crdit (dans le monde physique) et virements (par eBanking). Les mouvements bancaires totaliseront donc (hors cartes de crdit) prs de 10 milliards doprations. Sachant que ces chiffres cumulent particuliers et entreprises, si nous prenons lhypothse d1/10 pour des particuliers, ce sont donc 1milliard de virements qui pourraient tre oprs prochainement par du eBanking87, soit un rythme de 24 chques par an ou de deux transactions par mois, pour nos concitoyens.
2.3.4
Comme le remarque Me Caprioli dans une lettre de la FNTC 88, Les entreprises ayant une activit dans plusieurs pays europens taient, jusqu prsent, contraintes douvrir des comptes bancaires dans chaque pays de leur activit. Elles avaient aussi la contrainte de grer et dinitier leurs paiements avec des moyens techniques diffrents dans chaque pays. Elles pourront avec le SEPA, centraliser, si elles le dsirent, leurs comptes et leurs moyens de paiement sur un seul pays de la Communaut Europenne 89.
La France reste un des derniers pays europens, avec le Royaume-Uni, o le chque est fortement utilis. En effet, les chques mis en France reprsentent environ 53 % du volume total enregistr dans lUnion europenne (28 % pour le Royaume-Uni) 85 Idem 86 La surveillance des moyens de scripturaux : objectifs et modalits de mise en uvre (2004). Marc Andries, Carlos Martin, Direction des Systmes de paiement. Service de la Surveillance des moyens de paiement scripturaux. Banque de France 87 Aujourdhui il est impossible de procder un virement bancaire si le bnficiaire nest pas enregistr au pralable 88 Du Mandat au Mandat lectronique . La dmatrialisation du mandat dans les paiements : un des impacts du SEPA 2009 89 Leurs relations commerciales et financires seront simplifies avec des implmentations techniques rendues homognes par lusage de rseaux tlcom, de protocoles de communication et de formats informatiques norms au niveau europen. Les filiales europennes dentreprises hors zone SEPA auront des relations commerciales et financires homognes avec les entreprises europennes au niveau continental. Les relations commerciales internationales seront donc galement simplifies. Enfin, les entreprises ayant uniquement actuellement une activit nationale, pourront accder des paiements ponctuels transfrontaliers plus facilement, profiter des conomies dchelles provoques par la dimension du nouveau march domestique europen des paiements et enfin, les nouveaux standards de communication et de dmatrialisation de ces nouveaux moyens de paiements permettront daccder des nouveaux services innovants.
84
SEPA Direct Debit
_________________________________________________________________________________________________________________
28/ 133
Le SEPA Direct Debit (SDD) vise homogniser les modalits de paiement - activits rcurrentes par TIP, ou oprations ponctuelles par cartes de crdit - dans un paysage tant national quEuropen. En dehors de ses caractristiques techniques, le SDD se diffrencie du prlvement domestique actuel par 2 caractristiques ayant un fort impact commercial :
Le mandat doit tre opr par le crancier ("creditor mandate flow"). Ce qui lui impose notamment de grer une base de mandats dmatrialiss, et d'tre en mesure de produire la preuve d'un mandat auprs de la banque du dbiteur. La commission d'interchange disparat, la banque du dbiteur n'a donc aucune source de rmunration pour le traitement d'un mandat SDD
Le RuleBook de l'EPC90 propose 2 possibilits pour grer le mandat de manire lectronique :

Le "e-mandate" qui repose sur un modle 4 coins dans lequel la banque du dbiteur met en place un serveur de validation lui permettant de confirmer en ligne son acceptation. La signature lectronique du mandat, pouvant se faire par tout moyen conforme la Directive europenne sur la signature lectronique. Il est noter que cette dernire possibilit est valable pour les prlvements domestiques, mme en dehors du cadre du RuleBook puisqu'un crit lectronique a la mme force probante qu'un crit papier
Il est probable que le modle "e-mandate" sera difficile dployer car il est complexe techniquement et oblige les banques dbitrices mettre en place des serveurs de validation sans contrepartie financire. La Signature lectronique du mandat reprsente, quant elle, une opportunit pour les cranciers qui, puisqu'ils doivent dsormais grer le mandat, voudront le faire de la manire la plus simple et la moins coteuse possible. Plus gnralement, le remplacement progressif des moyens de paiement scripturaux tels que TIP ou chque par virement SEPA, prlvements rcurrents ou mme "One Off", constituent un vaste champ d'application pour l'authentification et la signature lectronique. En effet, ils ont besoin d'autant de scurit et d'imputabilit qu'un paiement par carte, sans pouvoir s'appuyer sur un modle conomique tel que 3D Secure qui prvoit l'interchange et les moyens de vrification par la banque du dbiteur.
La procdure de eMandate met en uvre un mcanisme dautorisation entre banques crditeur et bnficiaire. (Schma EPC)
90
European Payments Council
_________________________________________________________________________________________________________________
29/ 133
2.4 Le crdit la consommation Le crdit souscrit en magasin (lectromnager, mobilier, loisirs) dispose dun scnario bien rd : montants faibles (1000-2000 euros), pices justificatives minimales (CNI, chque ou carte bancaire) et paiement dune premire mensualit. En cas de refus lissue du dlai Scrivener, dbit automatique du compte grce lempreinte de la carte ou du chque de caution. Le financeur minimise ainsi le risque dautant que la prsence du client et une confirmation en temps rel de sa solvabilit constituent de solides garanties91. Identifi par ltude AFNOR de 2007 comme un secteur gagnant de lauthentification forte, le crdit en ligne peine garantir lidentit de lemprunteur (voire de co-emprunteurs), contrairement la demande en magasin. Pourtant les chiffres militent en faveur dune adhsion des franais au financement diffr92 :
14 millions de mnages dtiennent au moins un crdit la fin 2009, soit 50,8 % des mnages, Prs d'un tiers des mnages dtient un crdit la consommation fin 2009 (30,8 %) 31,7 % des mnages ont un crdit immobilier en 2009 (en baisse par rapport 2008 : 33,8 %)
La souscription en ligne achoppe sur la constitution dun dossier de preuves qui soit opposable lemprunteur en cas de litige et comprhensible par la chane du contentieux : huissiers et juges93. Deux cas se prsentent : B2C (crdit non attach un bien) et B2B2C (crdit attach un bien).
2.4.1 B2C
Non attach un bien, le crdit en ligne, qui permet de disposer dune rserve de trsorerie, reprsente le cas simple (plusieurs milliards dencours) dans la mesure o lemprunteur nest pas conditionn par limmdiatet dachat. Les pices fournir sont identiques au face face : CNI, Impts, salaires. Des solutions de certificats ont t mises en uvre94 pour des clients en compte, une approche de type cross selling qui vise augmenter les encours demprunteurs, alors que le gros du march porte sur la conqute (ou recrutement) de nouveaux clients. A peine 1% des demandes sont dmatrialises - quelques milliers parmi les millions soumises annuellement mais seulement pour des emprunteurs connus.
2.4.2 B2B2C
Le financement est plus complexe lors dune dmarche dachat. Pourtant, moins le bien est impliquant , plus la procdure est dmatrialise ; un voyage se finanant mieux quun bien immobilier. Totalisant quelques dizaines de millions deuros lan, ce secteur, qui stagne, est appel peser plusieurs milliards si des procdures dauthentification forte et de signature sont disponibles95. Le dfi, cest la dmatrialisation de la chaine de prt, jusquau traitement de contentieux ; huissiers et juges devant se prononcer lavenir sur des dossiers lectroniques ; faute de jurisprudence, la profession marque une expectative. A cet effet, CA Consumer Finance archive les textos des procdures bi-canales destines confirmer le consentement par portable. Nos tablissements de crdit avouent constater le dynamisme de leurs filiales linternational dont la lgislation favorise lidentification de lemprunteur par numro unique96. Preuve de limpatience des financeurs, moult solutions de contournement subtil quilibre entre satisfaction client et apprciation du risque visent assouplir les dlais de rflexion : Receive and Pay,
Les banques doivent se conformer au Rglement n 97-02 du 21 fvrier 1997 relatif au contrle interne des tablissements de crdit et des entreprises dinvestissement. De plus elles sont assujetties des procdures internes de contrle encore plus contraignantes. 92 Selon l'enqute de l'Observatoire des crdits aux mnages (2009) 93 Entretien Mr Pinon, Directeur juridique CA Consumer Finance ; Mr Amoedo, Chef du service Media Interactifs - Marketing B2C at CA Consumer Finance 94 Quicksign dAltenor avec les certificats de Keynectis 95 Pour des montants demprunt faibles, le contrle des pices est dit simplifi et dclaratif (RIB + CNI) ; concernant des montants suprieurs, (>2000 Euros) 4 pices justificatives sont alors demandes, notamment le niveau dendettement 96 Comme cest le cas en UK et Hongrie
91
_________________________________________________________________________________________________________________
30/ 133
eActivation97. . Le bien est expdi avant mme loctroi de la somme demande, avec garantie de paiement par prise dempreinte sur la carte de crdit. Parmi les alternatives, le Crdit Presto98, qui met en jeu une architecture 3D Secure de faon sassurer par SMS du consentement de lemprunteur. En cas de refus de crdit, le vendeur est pay grce sa prise de garantie ; par contre, le financeur aura travaill pour rien. Et non pour contrer une tentative de fraude mais parce que le dossier est incomplet, mal photocopi ou les justificatifs prims. Do leur proccupation de fluidifier le crdit en ligne, mais par une procdure juridiquement irrprochable.
2.4.3 Contexte juridique
Le crdit, notamment revolving, fait lobjet dune attention de la Commission Europenne et du Ministre de lEconomie et des Finances ; lobjectif, favoriser la concurrence transfrontire et protger le consommateur. La Directive99sur le Crdit la Consommation (DCC)100 trouve sa transposition franaise dans loi FICP101 qui vise limiter les effets du surendettement. Parmi les mesures nouvelles102, la production de multiples justificatifs (identit, domicile, revenus). Un contexte qui milite en faveur de certificats ; les mieux mme de garantir lidentit. On peut mme anticiper que lattestation de domicile ne soit plus obligatoire, si le demandeur est identifi de faon certaine. La traditionnelle OPC (Offre Pralable de Crdit) sera prochainement remplace par un Contrat de Crdit pouvant tre sign en ligne sous rserve de conformit des documents communiqus , laissant au demandeur 14 jours pour se rtracter103. Le march de lauthentification forte concerne toutes les formes de crdits: B2C, B2B2C, revolving (environ 3 millions de mnages104), mais galement le SAV, la moiti des emprunteurs actualisant au moins une fois lan leurs donnes dtat civil. Le gain de productivit est estim 30-40% du temps consacr lexamen des dossiers, en cas dune procdure automatise105. Considrant que prs de 50% des demandes de crdit naboutissent pas, on prvoit une croissance des financements une fois automatises les procdures dauthentification. Il est donc ncessaire de privilgier les taux de transformation en ligne, la fraude (minime) tant traite par des mcanismes de scoring entre patronymes, mails et adresses douteuses. Le frein loctroi de crdit ntant pas tant li la fraude qu la difficult de finaliser une demande sur la toile. Par contre, ne ngligeons pas que de nombreux candidats
CA Consumer Finance Cetelem 99 Rsolution lgislative du Parlement europen du 16 janvier 2008 relative la position commune du Conseil en vue de l'adoption de la directive du Parlement europen et du Conseil concernant les contrats de crdit aux consommateurs et abrogeant la directive 87/102/CEE (9948/2/2007 C60315/2007 2002/0222(COD)) 100 Harmoniser les lgislations des Etats membres en matire de contrats de crdit aux consommateurs pour renforcer lintgration du march unique. Renforcer le droit de rtractation du consommateur : non plus sept mais quatorze jours pour changer davis. Prteur devra galement sassurer de la solvabilit du consommateur bnficiaire, par la cration ou lutilisation de bases de donnes adquates. Le prteur consulte le fichier Ficher national des incidents de remboursement des crdits aux particuliers (FICP) de la Banque de France. 101 Fichier de la Banque de France des incidents bancaires de remboursements de crdits aux particuliers (FICP). 102 Obligation pour le crdit en magasin doffrir le choix au consommateur entre crdit renouvelable et amortissable (pour les demandes de crdit dun montant suprieur 1 000). Obligation pour le prteur de vrifier la solvabilit de lemprunteur
97 98
Obligation pour le prteur de consulter le fichier FICP qui recense les incidents de remboursement sur les crdits des particuliers Sur le lieu de vente, remise obligatoire dune fiche de dialogue et dinformation remplir 4 mains par le vendeur et le consommateur-emprunteur. Cette fiche sera loccasion dun vritable point budget pour valuer si le crdit est adapt lemprunteur Pour les crdits dun montant important (plus de 3000 euros environ), lemprunteur devra fournir des justificatifs (identit, domicile, revenus) Inscription dans la loi dun devoir dexplication du prteur lgard de lemprunteur. Doublement du dlai de rtractation de 7 14 jours. Obligation de former la distribution de crdit les vendeurs des magasins. Interdiction de moduler les commissions payes aux vendeurs selon quils distribuent du crdit renouvelable ou amortissable (afin que les vendeurs ne soient pas incits orienter systmatiquement les consommateurs vers du crdit renouvelable). 103 Le client peut bnficier des fonds J+2 mais devra rembourser en cas de rtractation 104 Crdit revolving 21% de 14 millions de mnages emprunteurs, soit 3 millions http://www.alternatives-economiques.fr/le-credit-revolving-en-accusation_fr_art_822_42128.html 105 Information CA Consumer Finance
_________________________________________________________________________________________________________________
31/ 133
emprunteurs surfent sur les sites de financeurs pour valuer les conditions, frais de dossiers et conditions de rtractation. Nous tenons compte de cette fraction dindcis dans nos valuations.
2.4.4 Assurance crdit
Lassurance crdit met en scne une entit juridique diffrente filiale ou partenaire qui les informations communiques relvent du dclaratif. Lassureur fait confiance au financeur, se rservant la facult de ne pas couvrir le risque en cas de dclaration frauduleuse. Gnralement, le contrat dassurance est envoy par la Poste, avec questionnaire mdical ; donc un potentiel important de dmatrialisation de bout en bout , vu les multiplicits de saisies, donc dimprcisions. Contrairement aux contrats dassurance traditionnels, souvent complexes, car dpendants de la situation familiale et professionnelle du souscripteur, la couverture crdit constitue un produit packag ; donc un cas idal de souscription en ligne pouvant tre sign lectroniquement dans la foule du Contrat de Crdit. 2.5 Les achats en ligne Le eCommerce ne connait pas la crise106, comme en tmoignent les chiffres ACSEL 2009 : 30 millions dinternautes, 10 achats chacun, pour un panier moyen de 90 Euros, soit un total par tte de 1000 Euros. Les prvisions 2010 avoisinent un CA de 31 milliards. Selon les estimations de la FEVAD, le eCommerce devrait continuer progresser au mme rythme, soit 38 milliards fin 2011 et plus de 45 milliards en 2012. Le baromtre CDC-ACSEL prouve lengouement des franais pour le commerce en ligne qui connait une croissance de 40%/an. Les internautes avertis font partie de la catgorie la plus active aux achats sur le web.
Chiffres FEVAD : Les grands gagnants sont les sites denchres (eBay) et rseaux daffilis (Amazon) qui devancent de quelques points les grossistes du web (PriceMinister, 3Suisses, FNAC). Par contre, une multitude de petits sites ont merg (prs de 70,000 !), sachant que 500 dentre eux concentrent plus de 10,000 transactions mensuelles.
106
Bilan annuel 2009 e-commerce en France : Source ACSEL, lAssociation pour le Commerce et les Services En Ligne
_________________________________________________________________________________________________________________
32/ 133
Pourtant, la France se positionne derrire les Pays Bas, la Sude, lAllemagne et lAngleterre. Comme le remarque lenqute CREDOC, lacheteur en ligne se situe parmi les CSP+ aux revenus levs et rsidant en rgion parisienne107. Un cas particulirement intressant pour les infrastructures base de certificats : les 15% dacheteurs sans cartes de crdit. Ils doivent remplir une autorisation de Dbit bancaire ou rdiger un chque en fin de parcours ; donc un retour au brick and mortar dans ce contexte pourtant dmatrialis. Une catgorie dinternautes qui pse prs de 4,5 milliards (15% de 30 milliards deuros) pour quelques 37 millions de transactions. Mais, daprs les vendeurs, prs de la moiti de ces promesses de paiements diffrs naboutissent pas. La solution, cest donc daccder son eBanking par le site de vente, en enchainant une suite doprations : authentification, appel de lIBAN du bnficiaire et confirmer son consentement par certificats. Connaissant les taux pratiqus par les mcanismes de paiement (0,8-1,5%) - Paypal, Visa, MasterCard il nest pas exclu que les vendeurs favorisent lavenir le dbit bancaire si la procdure est avantageuse ; dautant plus que lusage de certificats constituera une excellent garantie contre la rpudiation - source importante de prjudice et constituera une alternative 3D Secure.
2.5.1 Fraude lidentit pour les achats en ligne
Concernant lachat sur le web, on distingue deux principaux types de fraude

Lutilisation de numros de cartes usurps ; Lutilisation abusive et dtourne de la Loi sur la Scurit Quotidienne du 15 novembre 2001 permettant un acheteur identifi et de mauvaise foi de se soustraire ses obligations de rglement.
Dans le second cas, linternaute de mauvaise foi ne pourra pas renouveler sa fraude dans la mesure o il est immdiatement fich par des mcanismes de scoring de plus en plus performants. Des rsultats impressionnants : 50,000 fraudeurs dtects derrire quelques 100,000 identits jetables , gnres pour une simple transaction. Fia-Net, leader de la lutte contre la fraude sur internet, relve un volume moyen de 2,64 tentatives par identit , en jonglant avec des multiples attributs : mails, adresses physiques et numros de tlphone108. Les tableaux de Fia-Net confirment la pertinence de ladresse pour la vente en ligne, sachant que les fraudeurs privilgient les points de vente109. Source Fia-Net. Fianet, Livre blanc 2010 La fraude la carte bancaire sur Internet. Le scoring permet un croisement des attributs susceptibles de dissimuler des tentatives de malveillance.
Il existe de nombreux groupes o une majorit dindividus passe par Internet pour raliser certains achats (Graphique 49 et Tableau 54) : les cadres suprieurs (74%), les diplms (71%), les bnficiaires des revenus les plus levs (65%), les 18-40 ans (plus de 60%), et les habitants de Paris et son agglomration (56%). A contrario, certains groupes restent en retrait : un quart seulement des sexagnaires ou des titulaires de revenus mensuels infrieurs 900 ont fait des emplettes sur Internet. Les non diplms (13%), les retraits (16%) et les septuagnaires affichent des taux plus faibles encore (Etude CREDOC 2009) 108 Le nombre de fraudeurs identifis dpasse les 100 000 individus. On observe malgr tout un ralentissement dans lvolution des identits de fraudeurs repres sur les trois dernires annes (+ 81 % de 2006 2007, + 60 % de 2007 2008, + 42 % de 2008 2009). Cette tendance est corrler avec les nouvelles mthodes des fraudeurs qui utilisent de plus en plus didentits jetables (voir lexplosion des rseaux page 15). En moyenne, FIA-NET constate 2,64 fraudes par individu, pour un montant moyen de 295 . Fia-Net, Livre blanc 2010 La fraude la carte bancaire sur Internet. 109 Si le nombre de rseaux a connu une forte volution, FIA-NET constate que les donnes lies au renouvellement dinformations (identits, adresses, emails, tlphones) ont fortement diminu. En effet, en 2008, les fraudeurs organiss en rseaux utilisaient en moyenne 9,38 identits chacun. En 2009, ils nen utilisaient plus que 4,5, soit une diminution de 52 %. Cette diminution se retrouve dans le nombre dadresses (- 48 %), de-mails (- 49 %) et de tlphones (- 49 %) utiliss.
107
_________________________________________________________________________________________________________________
33/ 133
Les fraudeurs jonglent avec les multiples attributs : mails, adresses physiques et numros de tlphone de faon djouer les mcanismes de scoring.
La tactique du fraudeur professionnel devient difficile apprhender ; longtemps spcialis en lectronique de luxe (iPhone, iPad) il achte maintenant des articles courants110 en mlangeant les identits pour ne pas tre dtect111. Comme lindique FiaNet, les identits fictives de plus en plus nombreuses - ne peuvent tre djoues que par croisement des attributs - mails, adresses, tlphones, patronymes avec des bases de donnes dacheteurs suspects.
Une tentative de fraude doit se concevoir comme une agrgation dattributs. Comme lindique Fia-Net, Le nombre didentits employes ..atteint son plus haut niveau en 2008 : en moyenne, chaque rseau utilise plus de 9 identits diffrentes (+ 49 % par rapport 2007). En deuxime position, les rseaux utilisent de plus en plus dadresses de livraison (8,53 en moyenne en 2008). Le nombre de numros de tlphones utiliss, qui avait tendance diminuer, connat une forte croissance, particulirement les numros de portables (qui se renouvellent de plus en plus souvent) . Sans surprise, la frquence laquelle les rseaux renouvellent leurs attributs est de plus en plus rapproche (chaque 2,20 transactions en moyenne), notamment les changements dadresse (toutes les 2,42 transactions)112.
Ceci prouve que si le nombre de rseaux de fraudeurs a augment, cest principalement parce que les fraudeurs renouvellent beaucoup plus vite leurs informations. De ce fait, les recoupements sont plus difficiles effectuer. Les rseaux de fraudeurs tendraient ainsi se fondre dans la masse des acheteurs honntes par des comportements moins facilement identifiables et plus classiques. 111 le fraudeur de 2009 se dfinirait par son comportement dacheteur classique privilgiant des secteurs dactivit forte croissance et des petits paniers moyens. 112 Fia-net, Livre blanc 2010. La fraude la carte bancaire sur Internet
110
_________________________________________________________________________________________________________________
34/ 133
La fraude lidentit ne concerne notre tude que dans la mesure o lacheteur va rpudier le paiement une fois lobjet livr. Cest pourquoi les mcanismes de scoring permettent de dceler les anomalies ventuelles : carte de crdit usurpe, patronyme usurp, etc Le succs de la vente en ligne (30 milliards de CA, 40% de croissance /an) ncessite que des mesure soient prises.
2.5.2
LObservatoire de la scurit des cartes de paiement de la Banque de France publie chaque anne un rapport sur le commerce lectronique113. Le taux de fraude sur les paiements distance (internet, courrier, tlphone) atteint 0,263% en 2009 contre 0,252 % en 2008 pour un montant cumul de 82 millions deuros; alors que la fraude aux cartes de crdit dans le monde physique reste lun des plus faibles au monde (0 ,014%) grce lusage du chip et du PIN code114. Ainsi le paiement en ligne, qui reprsente 7 % en valeur des transactions, compte-t-il dsormais pour 57 % du montant de la fraude. Comme lindique lObservatoire de la Banque de France, les secteurs les plus touchs sont le voyage et la vente en ligne qui totalisent 40% des malveillances. Concernant les jeux sur internet, remarquons que ces statistiques sont antrieures la Loi relative l'ouverture la concurrence et la rgulation du secteur. (Observatoire de la scurit des cartes de paiement. Banque de France)
Fraude aux paiements sur le web
En partenariat avec la FEVAD qui sappuie sur un chantillon de 33 entreprises de vente distance reprsentant 38% du chiffre daffaires des adhrents de la FEVAD 114 Achats en ligne ; fraude augmente en 2009 0,263% contre 0,235% en 2008. Montant de la fraude : 51,9 millions deuros. 7 fois plus lev que le taux global (0,263% contre 0,038%).
113
_________________________________________________________________________________________________________________
35/ 133
Pour les paiements linternational, le taux de fraude atteint 1,350 %, 22 % des transactions totalisant prs de 50 % de la fraude. Mais, dans ce cas, les mcanismes de croisement dattributs adresse, mails, tlphones deviennent inoprants. Lidentification de lacheteur en ligne apporte-t-elle une rponse pour les achats hors France ? Mais ceci ncessiterait une standardisation des procdures dauthentification sur le web.
2.5.3
Autre vecteur de fraude, le paiement par courrier ou tlphone qui rpond aux besoins de consommateurs et prestataires : abonnements, vente par correspondance, rservation dhtels, spectacles ou taxis115. Dans ces cas, la malveillance dpasse les scores de fraude sur internet116 vu la possibilit de rcuprer le cryptogramme du titulaire de la carte117. Fortement concurrence par le web, sa pratique est en diminution.
2.5.4 Sassurer du consentement de linternaute
Le MO/TO (Mail Order / Telephone Order)
La fourniture de produits ou services en ligne est rgie par lArticle 1369-5 du Code Civil118. Le destinataire doit exprimer son acceptation, puis L'auteur de l'offre doit accuser rception sans dlai injustifi et par voie lectronique de la commande qui lui a t ainsi adresse , pour conclure que La commande, la confirmation de l'acceptation de l'offre et l'accus de rception sont considrs comme reus lorsque les parties auxquelles ils sont adresss peuvent y avoir accs . Ce mcanisme dacceptation et daccus de rception est lorigine du double clic familier aux cyberacheteurs. Comme le remarque par Me Caprioli 119 LArticle 1369-5 du Code civil tablit une procdure suivre lors dune commande en ligne. En cas de non-respect des conditions poses, le contrat ne sera pas valablement conclu. (Tout dabord) Acceptation de loffre de contracter : le fameux clic sur une icne ou sur un oui ou un jaccepte. (qui se dcompose comme suit) : Confirmer laccord au cybervendeur , par double clic plus protecteur pour le consommateur. (puis le) Vendeur doit accuser rception sans dlai injustifi et par voie lectronique de la commande qui lui a t ainsi adresse ; (pour ventuellement) Passer la main lorganisme de crdit . On peut sinterroger sur la solidit juridique du procd et suggrer son remplacement par un mcanisme dauthentification forte. Vu la rticence des internautes la multiplicit des crans, pourquoi ne pas
Paiements par carte par courrier ou tlphone ( Mail Order/Telephone Order - MO/TO) : en diminution sensible 109 millions de paiements par carte reus par courrier ou par tlphone ; 2 % de la valeur des transactions nationales). 116 Pour 2008, il a t relev un accroissement du taux de fraude pour les paiements par carte par courrier et tlphone : celui-ci tait en effet de 0,280 % contre 0,201 % lanne prcdente. Pour la premire fois en 2008, le taux de fraude national pour le canal MO/TO dpassait le taux de fraude sur Internet 117 Le code usage unique sert au porteur sauthentifier comme le porteur lgitime auprs du commerant. Contrairement au canal Internet qui permet des vrifications informatiques, il peut tre difficile dutiliser de tels codes pour les canaux MO/TO. Il conviendrait en effet dempcher lutilisation abusive de ce code usage unique, par exemple par un employ indlicat. 118 Article 1369-5. En vigueur depuis le 17 Juin 2005. Cr par Ordonnance 2005-674 2005-06-16 art. 1 I, III JORF 17 juin 2005. Cr par Ordonnance n2005-674 du 16 juin 2005 - art. 1 () JORF 17 juin 2005. Pour que le contrat soit valablement conclu, le destinataire de l'offre doit avoir eu la possibilit de vrifier le dtail de sa commande et son prix total, et de corriger d'ventuelles erreurs, avant de confirmer celle-ci pour exprimer son acceptation. L'auteur de l'offre doit accuser rception sans dlai injustifi et par voie lectronique de la commande qui lui a t ainsi adresse. La commande, la confirmation de l'acceptation de l'offre et l'accus de rception sont considrs comme reus lorsque les parties auxquelles ils sont adresss peuvent y avoir accs 119 Le processus de contractualisation en ligne. Eric Caprioli Lettre de la FNTC
115
_________________________________________________________________________________________________________________
36/ 133
sinspirer dune procdure la Paypal qui, stockant lidentifiant, dclencherait lacceptation de lusager par certificat dauthentification ou de signature ; la procdure doit tre simple et rpondre aux exigences rglementaires.
2.5.5 La Directive Europenne sur les services de paiement120
En vigueur depuis le 1 novembre 2009, la Directive sur les services de paiement121 vise crer un march doprateurs financiers, avec des contraintes moindres que les banques. Un texte qui ouvre la voie de multiples acteurs comme les agences de voyages et oprateurs tlphoniques soucieux de gagner des parts de march. Le texte propose plusieurs dispositifs de paiement en ligne pour une mise en confiance des parties, notamment larticle 4 :
19) "authentification": la procdure permettant au prestataire de services de paiement de vrifier l'utilisation d'un instrument de paiement donn, y compris ses dispositifs de scurit personnaliss; 21) "identifiant unique": la combinaison de lettres, de chiffres ou de symboles indique l'utilisateur de services de paiement par le prestataire de services de paiement, que l'utilisateur de services de paiement doit fournir pour permettre l'identification certaine de l'autre utilisateur de services de paiement et/ou de son compte de paiement pour l'opration de paiement; 23) "instrument de paiement": tout dispositif personnalis et/ou ensemble de procdures convenu entre l'utilisateur de services de paiement et le prestataire de services de paiement et auquel l'utilisateur de services de paiement a recours pour initier un ordre de paiement; 24) "moyen de communication distance": tout moyen qui peut tre utilis pour conclure un contrat de services de paiement sans la prsence physique simultane du prestataire de services de paiement et de l'utilisateur de services de paiement;
Partant du concept de dispositif de scurit personnalis122 , la Banque de France123 recommande la mise en uvre de dispositifs dauthentification non rejouables . Objectif : garantir le consentement de lacheteur et lutter contre la rpudiation du paiement. Cinq mcanismes sont dcrits, dont quatre portent sur un code usage unique:
Carte matricielle avec chemin secret : le code usage unique est produit partir de la saisie de codes obtenus sur la carte selon un chemin connu seulement de lutilisateur ; Token : le code usage unique est gnr par un algorithme plac dans un petit appareil lectronique suite une pression sur un bouton ; Code usage unique reu par SMS ; Mini lecteur de carte puce : le code usage unique saffiche sur lcran du lecteur aprs insertion de la carte bancaire du porteur et saisie de son code PIN.
Directive 2007/64/CE du Parlement europen et du Conseil du 13 novembre 2007 concernant les services de paiement dans le march intrieur, modifiant les directives 97/7/CE, 2002/65/CE, 2005/60/CE ainsi que 2006/48/CE et abrogeant la directive 97/5/CE Texte prsentant de l'intrt pour l'EEE 121 La directive sur les services de paiement (PSD) fournit le cadre juridique ncessaire la mise en place d'un march europen unique des paiements. Elle vise instaurer un ensemble complet et dtaill de rgles applicables tous les services de paiement dans l'Union europenne. Son but est de rendre les paiements transfrontaliers aussi aiss, efficaces et srs que les paiements effectus l'intrieur d'un tat membre. La directive vise galement renforcer la concurrence en ouvrant les marchs des paiements aux nouveaux venus, ce qui permet d'accrotre l'efficacit et de rduire les cots. Enfin, elle a pour objet de fournir la base juridique ncessaire la cration d'un espace unique de paiement en euros. http://ec.europa.eu/internal_market/payments/framework/psd_fr.htm 122 La Directive introduit la notion de dispositif de scurit personnalis , qui peut prendre plusieurs formes. Dans le cadre dun paiement par carte au point de vente (terminal de paiement), le DSP sera la puce sur la carte. Pour un paiement par carte en ligne, le DSP peut prendre la forme dune authentification supplmentaire la BdF ayant en effet depuis 2007 dcid de promouvoir lauthentification non rejouable (pour les paiements par carte et les oprations sensibles de banque en ligne). Entretien avec Alexandre Stervinou, Banque de France Novembre 2010. 123 Observatoire de la scurit des cartes de paiement de la Banque de France
120
_________________________________________________________________________________________________________________
37/ 133
Le code usage unique par SMS est lorigine du procd 3D Secure qui transfre la responsabilit du paiement de la banque du vendeur celle de lacheteur. Vu la rticence des usagers franais, il nest pas exclu que dautres mcanismes soient mis en uvre pour viter la rpudiation de lachat (certificats ?)
Le cinquime dispositif dauthentification non rejouable recommand par la Banque de France consiste en une cl USB avec certificat lectronique. Linternaute la connecte son ordinateur lors du paiement et valide son acceptation par code PIN.
Comme remarque le rapport de la Banque de France : La cl USB, quant elle, est perue comme un objet la fois familier et moderne. Lhabitude de sa manipulation dans la vie quotidienne engendre une appropriation immdiate par les internautes et une utilisation intuitive de loutil de scurisation des transactions en ligne. De plus, elle est associe aux instruments de nouvelle technologie, comme la cl de communication 3G De plus Cet outil procure un sentiment de scurisation fort, manant dune part de lensemble du dispositif (certificat lectronique, caractre personnel de la cl USB) et, dautre part, de lentre dun code PIN spcifique la cl USB pour gnrer le code usage unique utilis lors du paiement sur Internet. Le fait que cet objet puisse tre utilis la fois chez soi et en mobilit explique quil soit le plus en conformit avec les pratiques de paiement en ligne des vigilants . Considrant que la Banque de France124 nexclut pas de nouveaux mcanismes de type 3D Secure, il peut tre envisag un procd base de certificat activ par code PIN pour attester le consentement de l'usager et rendre impossible la rpudiation de son achat.
124
Entretien Mr Alexandre Stervinou, Banque de France. Eurosystme.
_________________________________________________________________________________________________________________
38/ 133
2.6
2.6.1
Les jeux en ligne

Contexte rglementaire
Depuis le 12 mai 2010, cette activit est encadre par la Loi relative l'ouverture la concurrence et la rgulation du secteur des jeux d'argent et de hasard en ligne 125. Charge de veiller son fonctionnement, lARJEL126 a rendu public le 18 mai dernier un Dossier des Exigence Techniques qui dtaille les rgles imposes aux oprateurs de faon viter les drapages comme laccs aux mineurs et personnes interdites de jeu 127. Ne peuvent jouer en ligne les catgories dindividus rpertories par lArrt du 8 novembre 2010 portant cration au profit de la direction centrale de la police judiciaire dun fichier des courses et jeux , notamment :
1o Les personnes physiques exerant ou ayant exerc une activit professionnelle en rapport avec les tablissements de jeux et les champs de courses hippiques, les cynodromes et les terrains de pelote basque, et soumises agrment, que ce dernier ait t accord ou refus ; 2o Les personnes morales dont lactivit est lie directement ou indirectement aux tablissements de jeux et aux champs de courses ou ayant des intrts dans ces domaines ; 3o Les personnes physiques ayant des intrts ou des responsabilits lis aux activits ou aux personnes morales mentionnes aux 1o et 2o ; 4o Les personnes faisant ou ayant fait lobjet dune exclusion de salles de jeux ou de champs de courses.
Autre proccupation du rgulateur, le blanchiment dargent128, do un formalisme denrlement strict. Linternaute peut jouer anonymement pendant une dure maximale dun mois (reconductible une fois) aprs quoi il doit communiquer son tat civil129 :
Identit (nom, nom marital, nom demprunt officiel, prnoms, sexe) ; Surnoms, alias ; Photographie ; Date et lieu de naissance ; Filiation ; Nationalit ; Situation familiale, nom du conjoint ou du Concubin ; Adresses physiques, numros de tlphone et adresses lectroniques ; Professions ; Mandats lectifs exercs dans la commune sige de ltablissement ( lexclusion de toute mention relative aux opinions politiques) ; Si elles acceptent la transmission de telles informations : la situation patrimoniale et financire permettant de vrifier les conditions de ressources exiges
Lors dun entretien avec lARJEL130, le secteur totalisait 1,2 millions de comptes pour 0,8 millions en attente de rgularisation. Comme on prvoit 10 millions de joueurs en 2017, affilis 2,6 sites en moyenne (cf. Italie), ce secteur pourrait totaliser 26 millions de comptes. Du ct prestataires, on dnombre 44 sites
Loi n 2010-476 du 12 mai 2010 relative l'ouverture la concurrence et la rgulation du secteur des jeux d'argent et de hasard en ligne. http://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000022204510&dateTexte 126 Autorit de rgulation des jeux en ligne
125
127 http://www.legifrance.gouv.fr/jopdf/common/jo_pdf.jsp?numJO=0&dateJO=20101114&numTexte=35&pageDebut=&pageFin
Prvenir les activits frauduleuses ou criminelles ainsi que le blanchiment de capitaux et le financement du terrorisme A rception du dossier complet le PMU envoie un code secret au titulaire par courrier ladresse du compte PMU. A la saisie de ce code secret, le compte PMU sera alors dfinitivement ouvert. Avec un compte provisoire PMU, il est possible, sur le site pmu.fr : d'enregistrer ses paris sur Internet 7jours/7 et 24h/24 dans la limite des disponibilits techniques d'accs au service ; d'assurer le suivi de ses paris et de vrifier le crdit de ses gains ; de disposer d'informations utiles pour parier et parfois exclusives ; d'approvisionner son compte par carte bancaire, dans la limite de 750 (montant de l'approvisionnement initial l'ouverture du compte compris). Il n'est pas possible de retirer ses gains et ses approvisionnements tant que le compte PMU n'est pas dfinitif. 130 Monsieur Epaulard, Directeur Gnral, Novembre 2010
128 129
_________________________________________________________________________________________________________________
39/ 133
pour 30 oprateurs, bien que plusieurs milliers des sites illgaux soient toujours accessibles131, mais sans offrir les garanties de ltat. Les encours ne sont pas ngligeables : PMU et FDJ totalisant 22 milliards deuros par leurs filires traditionnelles (bureaux de tabac), il nest pas exclu quune partie soit progressivement raffecte au web132. Autre chiffre cl, le panier moyen du joueur qui avoisine les 120 Euros mensuels ! A ce stade, plusieurs constats simposent :
Risque derreur de saisie dtat civil, une opration souvent externalise, donc une possibilit de non dtection vis--vis du fichier des interdits. Dossiers incomplets, relev dadresse non actualis Monte en puissance du parc de smartphones, donc une possibilit dusurpation de comptes authentification faible.
Lautorit de rgulation rappelle que lagrment ou son renouvellement est notamment conditionn la dmonstration par lentreprise de sa capacit technique, conomique et financire faire face durablement aux obligations attaches son activit, la sauvegarde de lordre public, de la lutte contre le blanchiment des capitaux et le financement du terrorisme, des ncessits de la scurit publique et de la lutte contre le jeu excessif ou pathologique.selon l'article 21 de la Loi, l'agrment ou son renouvellement est notamment conditionn la dmonstration par l'entreprise de sa capacit technique, conomique et financire faire face durablement aux obligations attaches son activit, la sauvegarde de l'ordre public, de la lutte contre le blanchiment des capitaux et le financement du terrorisme, des ncessits de la scurit publique et de la lutte contre le jeu excessif ou pathologique. 133. La reconduction de lagrment constitue un dfi pour les oprateurs qui, lchance de 6 ans, devront confirmer leur vigilance. Aussi doit-on sinterroger su les modalits daccs aux comptes lavenir. Ainsi le PMU rappelle que (il) se rserve la possibilit de demander tout moment un titulaire de compte . d'envoyer la photocopie recto-verso d'un document officiel en cours de validit comportant son nom patronymique et son prnom, sa date et son lieu de naissance ainsi que sa photographie (carte nationale d'identit, passeport, carte de rsident...), et/ou un justificatif de son domicile. En cas de non rception de ce(s) document(s) dans un dlai port la connaissance du titulaire du compte, il sera procd la fermeture du compte concern.134 Bien entendu, il est prmatur de recommander la mise en uvre de certificats qui risque de freiner les joueurs ; par contre, lenrlement en ligne devrait faciliter la conqute de nouveaux clients, en facilitant la communication de dossiers aprs la priode danonymat. La rvision de la Loi fin 2011 constitue donc une opportunit pour simplifier les modalits dadhsion. Autre perspective dusage de certificats, laccs un compte bancaire depuis le site de jeu, soit pour rcuprer un gain, soit pour alimenter son compte. Comme pour les achats en ligne, les certificats offrent donc une alternative Paypal et cartes de crdit pour des virements en ligne.
Alors que leur accs pourrait tre bloqu par les FAI A ce jour, les encours sont les suivants (source ARJEL): Sports en gnral : 350 Millions, hippisme : 220 Millions ; Poker : 2 Milliards 133 JORF n0113 du 18 mai 2010 page 9165, texte n 29. Arrt du 17 mai 2010 portant approbation du cahier des charges applicable aux oprateurs de jeux en ligne 134 PMU : Rglement des paris en ligne
131 132
_________________________________________________________________________________________________________________
40/ 133
2.7
2.7.1
Les loisirs
Vido On Demand (VOD)
Bien que le march de la VOD, notamment pour des films adultes, reprsente un chiffre daffaires consquent, il est peu probable que les prestataires exigent des preuves didentit, voire de majorit pour les accs en ligne. En gnral, ces sites demandent la confirmation de lge par simple clic, tout en mentionnant la nature des contenus. Preuve en est lAffaire Allopass cite par Me Caprioli dans une Lettre de la FNTC Au nom de l'article 227-24 du code pnal, la responsabilit des prestataires est souvent engage. L'affaire Allopass tmoigne-telle d'un assouplissement de la jurisprudence ? (11/10/2005) . Comme le remarque lavocat Un juge correctionnel vient d'acquitter le fournisseur d'une solution de paiement lectronique, poursuivi pour avoir fourni sa solution un site sur lequel un mineur a tlcharg, moyennant paiement, des vidos pornographiques . Bien que poursuivi en justice par les parents du mineur, le site a russi dgager sa responsabilit grce aux informations fournies pralablement au tlchargement de vidos.
2.7.2 La location de voiture
Identifi par le consortium FC, la location de vhicules constitue lexemple mme dune dmatrialisation de bout en bout 135. Dautant plus que la 3 Directive Europenne136 rend obligatoire, lchance du 19 Janvier 2013, la dlivrance dun titre scuris qui, vu lengagement de lANTS pour le protocole IAS, disposera de certificats dauthentification et de signature permettant didentifier le locataire et signer le contrat distance. Sur la base des volumes de locations annuelles, nous valuons dans les paragraphes suivants le potentiel pour des certificats. Mais ce march reste fort modeste, considrant que nombre de vhicules sont lous par des trangers de passage et quil nexiste pas de standard dauthentification en ligne. Le march des vhicules urbains en location ouvre de nouvelles perspectives. Mme si lidentit civile ne devait pas tre ncessairement requise, lauthentification sur la base du nouveau permis de conduire (aprs Janvier 2013) constitue une piste prometteuse pour automatiser la prise en charge du vhicule : validit du permis, facturation du trajet, mais surtout viter les fraudes et vols de vhicules. 2.8
2.8.1
Les greffes des tribunaux

Dmatrialisation des procdures administratives
Les greffiers des tribunaux de commerce tmoignent de la capacit de ladministration se rformer et proposer des dmarches en ligne. Depuis 2007, il est possible de crer une entreprise sur le web, modifier ses statuts mais galement de procder de multiples procdures comme lmission dinjonctions de payer137 vis--vis de tiers. Les greffiers visant se positionner comme des acteurs de le-procs et offrir une gamme de services aux entreprises.
2.8.2 Procdures mises disposition des entreprises
Le Greffier du Tribunal de Commerce est un officier public et ministriel dont le statut est dfini par l'article L741-7 du Code de Commerce. Sous lautorit du Garde des Sceaux, il est dlgataire de la puissance publique de l'tat pour l'excution dactes caractre authentique. Les fonctions proposes en ligne relvent de lautorit de son ministre, notamment les modifications statutaires vis--vis du RCS : .
Changement de grant, Modification de capital, Transfert de sige, Adjonction dactivit Requtes en injonction de payer
Gestion des identits. Analyse des contextes juridique, socio-conomique et socital. Cas location de voitures p.30. Consortium FC2 2006/126/EC http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2006:403:0018:0060:EN:PDF 137 Accessibles partir dInfogreffe http://www.infogreffe.fr/infogreffe/index.do
135 136
_________________________________________________________________________________________________________________
41/ 133
Immatriculation dune socit
La procdure se dcompose comme suit :

Remplir le formulaire en ligne (identification du crancier, du dbiteur, du mandataire sil existe et de lobjet de la crance), Signer lectroniquement la requte, Transmettre les pices justificatives scannes (factures, mandat.), Payer en ligne par carte bancaire
Les donnes communiques en ligne sont dclaratives et non vrifies, tout comme la copie de la CNI, donc une source de fraude et un potentiel pour des mcanismes dauthentification forte de faon reprer les personnes interdites de gestion ou agissant sous des identits multiples138 ; en effet, les certificats dInfogreffe permettent de signer les donnes communiques mais nullement dattester lidentit dun internaute. 2.9 Les notaires Comme les greffiers des tribunaux de Commerce, les notaires sont des officiers publics qui oprent en dlgation de puissance publique sous lautorit du Garde des Sceaux ; do la notion dacte authentique attach leur fonction139. "Les notaires sont les officiers publics tablis pour recevoir tous les actes et contrats auxquels les parties doivent ou veulent faire donner le caractre d'authenticit attach aux actes de l'autorit publique"140. Aussi l'acte reu par notaire prsente-t-il de nombreuses caractristiques, qui fondent sa supriorit sur toute autre forme dacte juridique. Autre point fondamental, lacte authentique a une force probante, qui confre un caractre incontestable aux faits noncs et constats par le notaire et vaut l'acte authentique d'occuper la premire place dans la hirarchie des preuves tablie par le Code Civil . Le notaire a donc lobligation de vrifier, chaque opration, ltat civil du demandeur, notamment la jouissance de ses capacits, lorsque lacte modifie son tat civil (mariage) ou sert transmettre un bien. Il nest donc pas envisag de communiquer en ligne son tat civil aux notaires. Par contre, ils sont intresss disposer dun espace scuris pour changer des pices avant la rdaction dun acte : vente, succession, partage. Sa mise en uvre sinscrit dans une stratgie visant offrir une gamme de services dmatrialiss et scuriss aux particuliers : coffres-forts lectroniques, espace notarial 141 et, notamment, la procdure REAL142 permettant aux tudes de signer lectroniquement des actes authentiques distance.
Dans la mesure o la CNI nest pas obligatoire, ce dispositif nexclut nullement que des mandataires sattribuent lidentit de personnes non dtentrices dun titre didentit. Des contrles de cohrence peuvent tre raliss sur la base dadresse comme dattributs complmentaires. 139 Ordonnance du 2 novembre 1945 : Les notaires sont les officiers publics tablis pour recevoir les actes et contrats auxquels les parties doivent ou veulent faire donner le caractre dauthenticit attach aux actes de lautorit publique, et pour assurer la date, en conserver le dpt, en dlivrer des grosses et expditions. 140 Idem. Article 1 141 L'Espace notarial donne au client du notaire les moyens de suivre tout moment le traitement de son dossier et d'y participer plus activement, sans avoir besoin de systmatiquement tlphoner son notaire ou de prendre rendez-vous avec lui. L'Espace notarial est un service dvelopp par la Chambre interdpartementale des notaires de Paris. Il s'agit de permettre un office notarial d'offrir chacun de ses clients un espace confidentiel de travail en ligne au sein duquel des informations pourront tre partages et des projets changs en toute scurit. L'Espace notarial est un site Extranet, hberg au sein du rseau professionnel IntraNotaires dans des conditions optimales de scuris et de disponibilit. Les notaires disposent au sein de leur tude des outils qui leur permettent de diffuser leur documentation en garantissant une confidentialit totale. Le notaire matrise la consultation des documents, en attribuant des droits d'accs ses clients, ses collaborateurs et autres parties prenantes l'opration, ainsi qu'aux tiers appels travailler sur le dossier (banques, avocats, experts comptables ). Le systme permet: d'accder tout moment aux lments du dossier (procurations, dclarations, certificats techniques, documents administratifs, plans ) ; de suivre en temps rel l'volution des projets d'actes successifs; de solliciter des modifications de leur texte; de communiquer des observations sur les propositions des autres intervenants; d'changer toutes informations et fichiers; de fixer des niveaux d'accs aux informations en fonction de la qualit des intervenants. Ouvert en 2005, l'Espace notarial est aujourd'hui un outil de travail utilis quotidiennement par un grand nombre d'tudes. http://www.paris.notaires.fr/art.php?cID=11&nID=531 142 La carte REAL permet au notaire d'agir plus rapidement en sa qualit d'officier public et de rduire d'autant la dure de traitement d'un dossier. REAL est une carte puce qui permet chaque notaire de France et leurs collaborateurs habilits : d'avoir accs des bases de donnes professionnelles confidentielles, comme par exemple le Fichier central des dispositions de dernires volonts ; de scuriser les changes dmatrialiss de la profession avec l'administration (notamment la Direction Gnrales des Impts) et ses grands partenaires institutionnels (la Caisse des Dpts et Consignations, les collectivits locales et territoriales, ...). La carte REAL est dlivre par le Conseil suprieur du Notariat selon un protocole destin garantir l'exclusivit de son utilisation. Elle constitue l'heure actuelle un outil de signature lectronique entre les notaires et les collaborateurs d'offices notariaux, garantissant leurs identits respectives et l'intgrit du contenu de leurs changes. Dans un trs proche avenir, elle permettra aux notaires de signer des actes tablis sur
138
_________________________________________________________________________________________________________________
42/ 133
Sachant que les notaires peuvent attester de lidentit des quelques 15 millions de nos concitoyens143 qui dfilent chaque anne dans leurs tudes, le Conseil Suprieur nexclut pas de se positionner comme prestataires IDNUM. Mais aujourdhui la stratgie nest pas arrte quant au support et modle financier. 2.10 Les huissiers de justice Avec les notaires et greffiers des tribunaux de commerce, lhuissier de justice constitue une troisime profession librale rglemente dofficiers publics et ministriels agissant en dlgation du Garde des Sceaux. Personnage central des contentieux, il dtient le monopole pour signifier et excuter les dcisions des tribunaux. Une profession de 10 000 clercs et employs qui produisent chaque anne prs de 11 millions d'actes. A la diffrence du notaire qui requiert auprs de la mairie de naissance la fiche dtat civil dun client pour chaque acte authentique, lhuissier se contente dune copie de CNI lors de louverture dun dossier ; donc des donnes dclaratives, sans vrification des pices communiques ; donc pas question dauthentification en ligne. Pourtant les huissiers, via lADEC144, sont en train de dmatrialiser leurs procdures de contentieux et de proposer de nouveaux services comme de courriers valeur probante. 2.11 La lettre recommande lectronique La lettre recommande, longtemps monopole de la Poste, constituera un march nouveau pour des acteurs qui enrichiront son offre : contenu de lenvoi (la Poste peut transmettre des enveloppes vides), archivage valeur probante, horodatage et confirmation didentit des parties. En dcembre dernier (2010), le Conseil d'tat145 a exig des dcrets d'application relatifs lordonnance de 2005 lgalisant le recommand lectronique, dcision qui brise de facto le monopole de l'oprateur historique et ouvre le march la concurrence146. Actuellement, les textes ne reconnaissent que la lettre recommande "postale" (papier), la Poste tant le seul "tiers de confiance" officiellement reconnu147. Bien que de multiples prestataires se positionnent, ils n'ont aujourdhui aucune valeur juridique en cas de litige. Paru le 2 fvrier 2011, le Dcret no 2011-144 entend prciser les modalits dapplication de larticle 1369-8 du code civil qui autorise lenvoi dune lettre recommande relative la conclusion ou lexcution dun contrat par courrier lectronique. Applicable sa date de parution, ce dcret est destin aux oprateurs et utilisateurs denvois recommands. Ce texte148 prcise les caractristiques de la lettre recommande par voie lectronique : dispositions relatives au dpt et la distribution149 et obligations de loprateur: avant tout envoi, lutilisateur devant tre inform des caractristiques de la lettre recommande et connatre lidentit du tiers charg de son acheminement. Le texte dtaille galement les modalits relatives lidentification de lexpditeur, du destinataire ainsi que du prestataire qui assure, le cas chant, la distribution du recommand sous forme papier. Sont galement fixes les mentions obligatoires que doit comporter la preuve de dpt et de distribution. Dans le cas dun recommand lectronique imprim sur papier, il est prvu une procdure pour mise en instance en cas dabsence du destinataire. Sil sagit dune distribution lectronique, la
support lectronique en leur confrant l'authenticit attache aux actes notaris, comme le prvoient la Loi du 13 mars 2000 (article 1317, al.2 du Code civil) et son dcret d'application du 30 mars 2001. http://www.paris.notaires.fr/art.php?cID=11&nID=524 143 Chaque demande dEtat Civil est value 5 euros par les notaires 144 Association Droit Electronique et Communication http://www.adec-asso.com/ 145 Le recours auprs du Conseil d'Etat avait t dpos par Document Channel, filiale de STS Group, leader europen des diteurs de logiciels dans le domaine de la confiance numrique - certification lectronique, dlivrance et gestion de preuves formelles, vote lectronique par correspondance, etc. "Cette dcision permet de sortir du flou juridique qui rgnait autour de la lettre recommande lectronique depuis l'ordonnance de 2005 et d'ouvrir la porte des procdures lgales, rapides et plus conomiques pour tous les acteurs du march", a soulign STS Group dans un communiqu. 146 "Nous attendons comme les autres oprateurs les dispositions de ce dcret qui nous permettront d'tre prsent sur ce march des formalits lectroniques", a indiqu une porte-parole de la Poste l'AFP. 147 La Poste perd le monopole des recommands lectroniques. L'Expansion.com avec AFP http://www.lexpansion.com/high-tech/la-poste-perd-le-monopol-des-recommandes-electroniques_241232.html 148 http://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000023513151&dateTexte=&categorieLien=id 149 Dcret no 2011-144 du 2 fvrier 2011 relatif lenvoi dune lettre recommande par courrier lectronique pour la conclusion ou lexcution dun contrat
_________________________________________________________________________________________________________________
43/ 133
procdure permet daccepter ou refuser lenvoi pendant quinze jours. Enfin, le tiers charg de lacheminement doit mettre disposition de lutilisateur une adresse lectronique et un dispositif lui permettant de dposer une rclamation. Ces dcrets rpondent aux exigences de larticle 1369-8 du Code civil pour qui le courrier lectronique recommand acquiert force probante lorsque le procd utilis pour lenvoi dun courrier lectronique recommand rpond quatre exigences :
le procd doit identifier le tiers qui achemine le courrier lectronique recommand ; le procd doit dsigner lexpditeur du courrier lectronique recommand ; le procd doit garantir lidentit du destinataire du courrier lectronique recommand ; le procd doit tablir si la lettre a t remise ou non au destinataire dudit courrier 150
Ainsi le dcret requiert-il de la part de lexpditeur :
Son nom et son prnom ou sa raison sociale ainsi que son adresse de courrier lectronique et son adresse postale ; Le nom et le prnom ou la raison sociale du destinataire ainsi que son adresse postale ou de courrier lectronique ;
On remarquera que, faute de mcanismes base de certificats, le Dcret ignore laccus de rception lectronique. Le tiers charg de l'acheminement du recommand doit conserver pendant un an ces informations, ainsi que le document original lectronique et son empreinte informatique. L'expditeur a accs, sur demande, au tiers charg de l'acheminement, ces informations ainsi qu'au recommand lectronique et son empreinte informatique pendant un dlai d'un an. Lorsque l'expditeur, avec l'accord du destinataire non professionnel, a demand la distribution par voie lectronique, le tiers charg de l'acheminement informe le destinataire, par courrier lectronique, qu'un recommand va lui tre envoy et qu'il a la possibilit, pendant un dlai de quinze jours compter du lendemain de l'envoi de cette information, de l'accepter ou de la refuser. Le destinataire n'est pas inform de l'identit de l'expditeur. On peroit, la lecture de ces lignes, le potentiel pour les oprateurs de certificats, de faon confirmer lidentit des parties tout comme les modalits de lenvoi. Vu la nouveaut du dcret dapplication, des oprateurs vont prochainement se positionner sur ce march prometteur : la Poste totalisant 200 millions de CA elle seule pour ses recommands. Dans ce contexte concurrentiel, le service Jedpose.com des huissiers se positionne comme un nouvel acteur en mettant la disposition des professionnels et particuliers un mcanisme de courrier lectronique certifi (DepoMail) et de conservation (AuthentiDoc) qui bnficie de la garantie de la profession151. Permettant notamment d identifier l'metteur et de garantir l'identit du destinataire mais aussi d'tablir que la lettre a t effectivement remise ce dernier, le cas chant. En outre, lorsqu'un avis de rception accompagne la lettre, celui-ci peut tre adress l'expditeur par voie lectronique ou par tout dispositif lui permettant de le conserver . Il nest pas exclu que dautres prestataires se positionnent, maintenant que le Dcret 152 est paru. Mais la confirmation didentit des parties ncessitera dintgrer loffre dun oprateur CNIe ou IDNUM de faon disposer dune solution cohrente de bout en bout. Le recommand lectronique va donc connatre une concurrence importante, mais il est vident que les services ajouts vont tirer le march vers des services plus complets et riches. Il est fort probable que la Poste muscle son offre, en introduisant une composante authentification, lors de lmission. La socit Trustmission 153 a rcemment communiqu sur une solution certifie par un huissier de justice .
Vademecum juridique de la dmatrialisation des documents. Cabinet dAvocats Caprioli & Associs (Paris, Nice) www.caprioli-avocats.com Sous la direction de Eric A. Caprioli, Avocat la Cour, Directeur en droit, Vice-Prsident de la FNTC. Collection Les Guides de la Confiance FNTC 3me dition 2010 151 Ce service s'inscrit dans le nouvel difice lgal de la dmatrialisation, issu de la loi du 13 mars 2000, de la loi pour la confiance dans l'conomie numrique du 21 juin 2004 et de son ordonnance du 16 juin 2005 prise en application de l'article 26 de la LCEN ayant pour objectif d'adapter l'environnement lectronique les dispositions lgislatives subordonnant la conclusion, la validit ou les effets de certains contrats des formalits et notamment les lettres recommandes. C'est surtout cette dernire ordonnance qui prvoit une section 3 intitule De l'envoi ou de la remise d'un crit par lectronique . Elle traite de l'quivalent lectronique de l'envoi par lettre simple ou par lettre recommande dans le cadre de la conclusion ou de l'excution d'un contrat ainsi que de la remise d'un crit sous forme lectronique (site DpoMail) 152 Dcret no 2011-144 du 2 fvrier 2011 153 http://www.trustmission.com/
150
_________________________________________________________________________________________________________________
44/ 133
2.12
2.12.1
Les assurances
e-Assurance
La souscription dassurances en ligne nest pas trs dveloppe dans la mesure o la majorit des contrats sont reconduits tacitement. Aussi les bnficiaires ne sont-ils pas tents, comme en Angleterre, de rengocier les primes la date danniversaire; do une concurrence froce chez nos voisins, mais des montants plus levs, vu les cots de conqute. Pour les assureurs, internet cest surtout un comparateur de prix bien plus quune prise de contrats en ligne. Quelques 15 millions de cotations ont t tablies en 2009 - 10% sant, 70% assurance automobile154 -, un march domin par le site Assurland.com (2,5 millions de visites mensuelles)155. Comme pour la banque en ligne, certaines compagnies ont dmatrialis leur relation clientle, notamment Direct Assurance dAXA qui traite exclusivement par tlphone et internet depuis 1992. Des offres packages pour autos, muli-risques habitation (MRH), motos et sant156. Mme politique pour Amaguiz de Groupama, leader de lassurance low-cost. La concurrence sur les prix, comme le turnover des clients 12% en MRH, 16% pour lauto - risque daccentuer la dlivrance de contrats en ligne dans les annes venir. En progrs de 40 % lan, la souscription en ligne reprsente aujourdhui 100,000 contrats par an mais sans que lopration soit totalement dmatrialise ; la majorit ncessitant un contact conseiller. Daprs le Benchmark Group, le canal internet157 seul reprsente seulement 5 %158 des contrats. En rfrence larrt de la Cour de Cassation du 27 mai 2008, Me Caprioli159 rappelle le caractre consensuel du contrat dassurance qui ne ncessite pas un crit dun strict point de vue formel. Aussi les assureurs doivent-ils prconstituer les preuves de lengagement (du) client, (notamment le) relev dinformation du prcdent assureur confirmant quil navait pas eu daccident . En effet, le rapport de confiance tabli entre les parties au moment de la souscription pourra-t-il tre caduc en cas de sinistre : La fiabilit de la procdure de souscription est donc ncessaire et les socits dassurance rflchissent aujourdhui louverture de services de souscription en ligne pour des prestations plus engageantes : les assurances portant sur la vie. Il nest pas exclu que pour des raisons de scurit juridique et technique, elles aient recours des moyens et des prestations de signatures lectroniques (comme des certificats phmres par exemple), fournis par des prestataires de services de certification lectronique 160. Aujourdhui lassurance a entam une rflexion de dmatrialisation pour rpondre la nouvelle gnration frue dinternet ; des pistes varies sont explores : transmission de documents, actualisation dtat civil, communication de preuves161. La possible introduction en Bourse dAssurland.com162, ou sa
Source : Assurland. Publi le 17/06/2010. http://www.c-mon-assurance.com/assurance-sur-internet-bilan-2009.html Avec de trs bonnes perspectives de croissance et un poids dj significatif pour plusieurs acteurs de lassurance (parfois plus de 10 % du chiffre daffaires), Internet tient aujourd'hui un rle important dans les stratgies de commercialisation. Qu'il s'agisse de solutions de devis, de souscription en ligne ou d'outils web au service du rseau, tous les acteurs intgrent dsormais ce canal pour assurer le dveloppement commercial de leurs offres. http://www.benchmark.fr/catalogue/publication/88/etude-assurances-et-mutuelles-sur-internet-les-meilleures-pratiques-en-europe.shtml/ 156 Direct Assurance est une socit du Groupe AXA, fonde en 1992. Pionnire de l'assurance en direct par tlphone et par Internet, Direct Assurance est devenue rapidement le numro 1 franais de l'assurance automobile en direct ainsi que le leader franais de l'assurance sur Internet 157 Loffre en ligne existe - vhicules (85 %), logements (78 %) 158 Etude portant sur 35 sites franais et 15 europens. http://www.journaldunet.com/cc/08_finance/finance_fr.shtml 159 Vademecum juridique de la dmatrialisation des documents. Cabinet dAvocats Caprioli & Associs (Paris, Nice) www.caprioli-avocats.com Sous la direction de Eric A. Caprioli, Avocat la Cour, Directeur en droit, Vice-Prsident de la FNTC. Collection Les Guides de la Confiance FNTC 3me dition 2010 160 Idem 161 Entretien Franois Rosier FFSA 17 Janvier 2011 162 Le premier comparateur en ligne franais d'assurances, Aussurland.com, va sortir du giron de Cova. Le groupe d'assurances mutualiste, qui runit GMF, Maaf et MMA, a mandat BNP Paribas et la Socit gnrale pour prparer une introduction en Bourse, mais aussi pour tudier les ventuelles marques d'intrt. Trois fonds anglo-saxons, TA Associates, Silver Lake et Golden Lake Capital Advisors, seraient pour l'instant sur les rangs. La valorisation d'Assurland oscille entre 150 et 200 millions d'euros. Cova, qui avait acquis le comparateur en 2005 autour de 20 millions, bouclerait donc une belle affaire. L'assureur assure privilgier une sortie en Bourse. Cova dtient galement le courtier en ligne Empruntis, achet dbut 2008 pour environ 120 millions d'euros. A. G. PAGE Des fonds s'intressent Assurland.com
154 155
_________________________________________________________________________________________________________________
45/ 133
cession des investisseurs, laisse prsager que les futurs dtenteurs du comparateur de taux soient intresss par offre plus complte de services, notamment la prise de contrats en ligne, suivant un modle de cot dfinir avec les assureurs.
2.12.2 Ncessit dauthentification forte
Le contrat dassurance porte sur des donnes dclaratives patronyme, date de naissance, type de vhicule. le prestataire pouvant se dsengager en cas de sinistre, si les donnes savrent errones. La majorit des contrats Responsabilit civile, auto, moto nappliquent donc pas de contrle didentit. A la diffrence de la banque dont le titulaire de compte possde une jouissance quotidienne, lassureur couvre un risque, en esprant quil ne se concrtise pas. Si lon considre la croissance de souscriptions sur le web, on ne peut exclure163 lusage prochain de certificats ; notamment lorsque la prise deffet est immdiate, comme la conduite dun vhicule. Les produits financiers - assurances-vie (14,5 millions de contrats, progression annuelle 10%, assurances crdits (3,7 millions /an), PERP (62,000 contrats / an) restent majoritairement signs en prsence de conseillers dagences ; multiples options tant proposes en fonction de lge, revenus et situation familiale. On ne peut donc considrer ce secteur comme reprsentatif de lauthentification forte, dautant que le souscripteur na pas jouissance immdiate de son pargne. Pourtant, on ne peut exclure que le web offre prochainement des produits financiers packags, comme cest le cas au Royaume Uni, pour diminuer les cots de gestion. Ainsi, Predica, filiale du Crdit Agricole et LCL, propose ses assurances-vie en ligne. La souscription met en uvre l'envoi d'un code usage unique par SMS ou propose l'installation d'un certificat lectronique. Par contre, les frais de souscription ne sont pas rduits ; il est donc urgent que la banque revoie sa stratgie si elle veut dynamiser ce canal de vente.
2.12.3 Loi Chatel
Vote par le 20 dcembre 2007, la loi pour le dveloppement de la concurrence au service des consommateurs ou Loi Chatel vise faire baisser les prix entre prestataires de services en favorisant les conditions de sorties de ces contrats164. Ainsi, larticle L.136-1 prvoit: que "Le professionnel prestataire de services informe le consommateur par crit, au plus tt trois mois et au plus tard un mois avant le terme de la priode autorisant le rejet de la reconduction, de la possibilit de ne pas reconduire le contrat qu'il a conclu avec une clause de reconduction tacite.165 Dans la mesure o lavis dchance saccompagne dune demande de rglement, lassur devrait pouvoir procder un virement sans plus utiliser chques ou TIPs. La procdure mettant en uvre des certificats reste dfinir : accs au compte client sur le site de lassureur, authentification leBanking, gnration de lIBAN du bnficiaire et signature du consentement.
Mots cls : comparateur d'assurance en ligne, FRANCE, COVea Par Anne de Guign. 02/03/2011. Le Figaro. Cova envisage aussi une introduction en Bourse de sa filiale. 163 Comme mentionn par le Vademecum de la FNTC 164 Loi n2005-67 du 28 janvier 2005 tendant conforter la confiance et la protection du consommateur (1). Titre 1er : Faciliter la rsiliation des contrats tacitement reconductibles. 165 Article L113-15-1. Cr par Loi n2005-67 du 28 janvier 2005 - art. 2 JORF 1er fvrier 2005 en vigueur le 28 juillet 2005 Pour les contrats tacite reconduction couvrant les personnes physiques en dehors de leurs activits professionnelles, la date limite d'exercice par l'assur du droit dnonciation du contrat doit tre rappele avec chaque avis d'chance annuelle de prime ou de cotisation. Lorsque cet avis lui est adress moins de quinze jours avant cette date, ou lorsqu'il lui est adress aprs cette date, l'assur est inform avec cet avis qu'il dispose d'un dlai de vingt jours suivant la date d'envoi de cet avis pour dnoncer la reconduction du contrat. Dans ce cas, le dlai de dnonciation court partir de la date figurant sur le cachet de la poste. Lorsque cette information ne lui a pas t adresse conformment aux dispositions du premier alina, l'assur peut mettre un terme au contrat, sans pnalits, tout moment compter de la date de reconduction en envoyant une lettre recommande l'assureur. La rsiliation prend effet le lendemain de la date figurant sur le cachet de la poste. L'assur est tenu au paiement de la partie de prime ou de cotisation correspondant la priode pendant laquelle le risque a couru, priode calcule jusqu' la date d'effet de la rsiliation. Le cas chant, l'assureur doit rembourser l'assur, dans un dlai de trente jours compter de la date d'effet de la rsiliation, la partie de prime ou de cotisation correspondant la priode pendant laquelle le risque n'a pas couru, priode calcule compter de ladite date d'effet. A dfaut de remboursement dans ces conditions, les sommes dues sont productives d'intrts au taux lgal. Les dispositions du prsent article ne sont applicables ni aux assurances sur la vie ni aux contrats de groupe et autres oprations collectives.
_________________________________________________________________________________________________________________
46/ 133
2.13
2.13.1
Le vote lectronique
Le cadre rglementaire
La loi sur la Confiance en lEconomie Numrique166 de 2004 autorise les entreprises recourir au vote lectronique167 pour les lections de dlgus168, un pas franchi par quelques grosses socits169. Le gain de productivit est considrable170 : quipements rduits, comptage automatis, PV.. Pour ce faire, la direction signe un accord dentreprise qui intgre le cahier des charges du systme.171 Lunicit du vote est atteste par confirmation lectronique, le salari ne pouvant se prononcer quune fois. Le dcret n2007-602 du 25 avril 2007 dtaille les modalits de mise en uvre du vote lectronique pour les dlgus du personnel et comits d'entreprise : confidentialit des donnes, scurit d'authentification, d'margement, d'enregistrement et du dpouillement172. Considrant les risques de pression, le vote distance est possible, do une ncessit dauthentification forte. Vu la faible reprsentation syndicale, ces lections ne constituent pas un march significatif. Par contre, les prudhommes reprsentent un enjeu, considrant lloignement des bureaux de vote par rapport au lieu de travail et les taux dabstention ; vingt millions dlecteurs devant se prononcer tous les 4 ans pour lire plus de 200 collges. Le vote lectronique nest pas uniquement possible dans le champ des lections professionnelles, il peut galement tre mis en uvre pour des scrutins de franais rsidants l'tranger173. Le vote lectronique rpond une double problmatique : authentification des personnes mais surtout garantie danonymat comme le rappelle la CNIL Le dispositif doit garantir que lidentit de llecteur ne peut pas tre mise en relation avec lexpression de son vote, et cela tout moment du processus de vote, y compris aprs le dpouillement (Dlibration n 2010-371)174. Ainsi la CNIL prend-elle parti pour des mcanismes dauthentification forte de faon garantir la lgitimit du scrutin et lanonymat des dcisions : Le systme de vote doit prvoir lauthentification des personnes autorises accder au systme pour exprimer leur vote. Il doit garantir la confidentialit des moyens fournis llecteur pour cet accs et prendre toutes prcautions utiles afin dviter quune personne non autorise ne puisse se substituer frauduleusement llecteur. La Commission estime quune authentification de l'lecteur sur la base d'un certificat lectronique constitue la solution la plus satisfaisante en l'tat de la technique. Le certificat lectronique doit tre choisi et utilis conformment aux prconisations du RGS175.
166 Loi n2004-575 du 21 juin 2004 pour la confiance dans l'conomie numrique (1). http://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000000801164&dateTexte= 167 L'article 54 de la LCEN modifie les articles L.423-13 et L 433-9 du Code du Travail en stipulant que les lections professionnelles peuvent seffectuer par voie lectronique. 168 Les lections professionnelles en entreprise concernent llection des dlgus du personnel dans les entreprises de plus de 10 salaris, et des membres du comit dentreprise partir de 50 salaris. 169 la SNCF, le Crdit Agricole ou Siemens (annexe 2). Certaines branches professionnelles ont mme sign des accords dans ce sens, preuve de la fiabilit du vote lectronique par Internet 170 Il permet de rduire le matriel engag et donc le cot global des lections (de 30 70% par rapport au vote par correspondance). 171 Art. L.2314-21 et L.2324-19 du code du travail 172 Les fichiers comportant les lments d'authentification des lecteurs, les cls de chiffrement et de dchiffrement et le contenu de l'urne ne doivent tre accessibles qu'aux personnes charges de la gestion et de la maintenance du systme. Le systme de vote lectronique doit pouvoir tre scell l'ouverture et la clture du scrutin. Les donnes relatives aux lecteurs inscrits sur les listes lectorales ainsi que celles relatives leur vote sont traites par des systmes informatiques distincts, ddis et isols, respectivement dnomms "fichier des lecteurs" et "contenu de l'urne lectronique". Vademecum juridique de la dmatrialisation des documents. Cabinet dAvocats Caprioli & Associs (Paris, Nice) www.caprioli-avocats.com Sous la direction dEric A. Caprioli, Avocat la Cour, Directeur en droit, Vice-prsident de la FNTC. Collection Les Guides de la Confiance FNTC 3me dition 2010 173 en 2009, pour la premire fois, la possibilit de recourir au vote lectronique pour une lection nationale, au suffrage universel direct, a t introduite par lordonnance n 2009-936 du 29 juillet 2009 relative l'lection de dputs par les Franais tablis hors de France. 174 http://www.cnil.fr/en-savoir-plus/deliberations/deliberation/delib/249: I.2. La sparation des donnes nominatives des lecteurs et des votes 175 http://www.cnil.fr/en-savoir-plus/deliberations/deliberation/delib/249/ II.1.2. Les procds d'authentification de l'lecteur
_________________________________________________________________________________________________________________
47/ 133
2.13.2
Le vote lectronique au sein des ordres professionnels
Dans une lettre de la FNTC176, Me Caprioli mentionne les possibilits de vote lectronique pour les ordres professionnels travers lexemple des avocats. Ainsi rappelle-t-il que Le dcret n2002-1306 du 28 octobre 2002 qui institue le vote distance par voie lectronique pour llection des membres du Conseil national des barreaux est-il venu modifier le dcret n 91-1197 du 27 novembre 1991 organisant la profession davocat . Ainsi, aux termes de larticle 28 alina 3 les lecteurs peuvent voter distance par voie lectronique lorsque lordre dont ils relvent a adopt les mesures techniques ncessaires. Dans cette hypothse, quinze jours au moins avant la date du scrutin, lordre porte la connaissance de ses membres disposant du droit de vote, les modalits pratiques du scrutin et leur adresse un code personnel et confidentiel Un secteur significatif dans la mesure o les ordres professionnels ont un souci de reprsentation forte. Le document didentit, flanqu dun certificat, possdera une valeur probante moins que les cartes professionnelles ne possdent galement cette fonction.
2.13.3 Le vote lectronique dans les socits cotes
A lexception de quelques rares entreprises comme France Tlcom, Danone ou BNP Paribas, trs peu de socits cotes proposent de voter par Internet lors des assembles gnrales, bien que le procd soit autoris depuis 2001 : les deux tiers des actionnaires ne reoivent pas le formulaire de vote, lenvoi coteux dun courrier papier par la Poste est souvent rserv de fait aux actionnaires inscrits au nominatif ou dtenant un grand nombre de voix 177. Cest pourtant une demande des petits porteurs notamment Colette Neuville prsidente de lAdam comme les jeunes, salaris, provinciaux, retraits, trangers, et mme grants178 qui souhaitent participer davantage179 aux activits des entreprises. De plus le vote lectronique offrira une traabilit, lassurance que le vote a t pris en compte. Tout sera vrifiable, il ny aura plus de problme de preuve. Alors quil est dj arriv plusieurs fois quun actionnaire dtenant par exemple 4% des voix et votant contre une rsolution constate que celle-ci a t adopte 98%! Les mmoires du systme informatique central conserveront tout pendant trois ans, et au-del si une contestation est engage 180.
2.13.4 Les solutions proposes
Le vote lectronique est encadr par larticle L. 225-107 du Code du Commerce qui, comme le remarque Me Caprioli181, dispose que tout actionnaire peut voter par correspondance, au moyen dun formulaire dont les mentions sont fixes par dcret en Conseil dtat . De plus, si les statuts le prvoient, sont rputs prsents pour le calcul du quorum et de la majorit les actionnaires qui participent lassemble par visioconfrence ou par des moyens de tlcommunication permettant leur identification et dont la nature et les conditions dapplication sont dtermines par dcret en Conseil dtat . Un vote qui peut soprer, soit par voie postale, soit par voie lectronique pour faciliter la participation du plus grand nombre182. De plus Me Caprioli rappelle, sur la base du nouvel article R. 225-63 du Code du Commerce, que les socits qui entendent recourir la tlcommunication lectronique en lieu et place dun envoi postal pour satisfaire aux formalits prvues aux articles R. 225-67, R. 225-68, R. 225-72, R. 225-74 et R. 225-88 recueillent au pralable par crit laccord des actionnaires intresss qui indiquent leur adresse lectronique. Ces derniers peuvent tout moment demander
Vademecum juridique de la dmatrialisation des documents. Cabinet dAvocats Caprioli & Associs (Paris, Nice) www.caprioli-avocats.com Sous la direction dEric A. Caprioli, Avocat la Cour, Directeur en droit, Vice-prsident de la FNTC. Collection Les Guides de la Confiance FNTC 3me dition 2010 177 Pierre-Henri Leroy, prsident du cabinet conseil aux investisseurs Proxinvest 178 Les grants se dplacent rarement. En 2008, un tiers seulement des socits de gestion auraient t physiquement prsentes au moins une assemble. 179 Bien que 90 % des socits de gestion franaises participent aux AG peu de grants se dplacent. En effet, Le vote par correspondance est la forme prdominante de participation aux assembles d'metteurs franais, hauteur de 75 % , prcise la dernire enqute de l'AFG sur ce sujet 180 Colette Neuville ADAM, 181 Vademecum juridique de la dmatrialisation des documents. Cabinet dAvocats Caprioli & Associs (Paris, Nice) www.caprioli-avocats.com Sous la direction de Eric A. Caprioli, Avocat la Cour, Directeur en droit, Vice-Prsident de la FNTC. Collection Les Guides de la Confiance FNTC 3me dition 2010 182 Cest galement lobjectif de la Directive 2007/36/CE du Parlement europen et du Conseil du 11 juillet 2007 concernant l'exercice de certains droits des actionnaires de socits cotes. La prsente directive fixe des normes d'exigence minimale afin de faciliter l'exercice des droits des actionnaires dans les assembles gnrales des socits cotes, notamment sur une base transfrontalire. Elle vise galement prendre en compte les possibilits que reprsentent les technologies modernes. En matire d'informations communiquer pralablement l'assemble gnrale, les socits doivent: envoyer la convocation au plus tard le vingt et unime jour prcdant l'assemble gnrale; inclure dans la convocation les informations essentielles (date, lieu de l'assemble gnrale, projet d'ordre du jour, description des procdures de participation et de vote, etc.); publier sur le site Internet de la socit la convocation, le texte complet des projets de rsolution et les informations pratiques essentielles (nombre total d'actions et de droits de vote, documents destins tre prsents, ou commentaire pour chaque point l'ordre du jour, ventuellement formulaires de vote).
176
_________________________________________________________________________________________________________________
48/ 133
expressment la socit par lettre recommande avec demande davis de rception que le moyen de tlcommunication susmentionn soit remplac lavenir par un envoi postal183. Ainsi la socit doit-elle crer un site184 pour que les actionnaires puissent confirmer leur intention par crit et communiquer leur adresse lectronique.185 Au final, lexercice du droit de vote lectronique ncessite lidentification par un code fourni pralablement la sance . A ce jour, lANSA186 prcise quelle ne saurait recommander le vote lectronique distance en raison des prcautions techniques quil conviendrait de mettre en uvre : les solutions techniques seraient-elles insuffisantes au regard des perspectives ouvertes par le Dcret du 3 mai 2002 ? Cette absence de dynamisme dcoule du manque doutils disponibles, bien que les certificats aient t envisags comme une alternative aux traditionnels identifiants / mots de passe, sources de contestation en cas de litige. Cest pourquoi, Jean-Paul Valuet, prsident de lANSA a transmis la Chancellerie et au Trsor une demande de modification des textes, car seul un systme simple pourra tre utilis par les actionnaires. Marcel Roncin, prsident de lAssociation franaise des professionnels des titres (AFTI), prpare activement la mise en place du vote par le Web en 2011. Un appel doffres tant attendu (Fvrier 2011) sous lgide de lANSA et du CFONB187. Le dcret n 2010-684 du 23 juin 2010 qui vise amliorer l'exercice du droit des actionnaires de socits cotes s'applique dsormais aux assembles gnrales tenues compter du 1er octobre 2010 (article 9 du dcret n 2010-684). Pendant une dure ininterrompue commenant au plus tard le vingt et unime jour prcdant l'AG, ces socits auront l'obligation, en application de l'article R. 225-73-1 du Code de commerce, de publier sur leur site internet les informations et documents suivants :
L'avis de runion, Le nombre total de droits de vote existant et le nombre d'actions composant le capital de la socit la date de publication de cet avis, en prcisant, le cas chant, le nombre d'actions et de droits de vote existant cette date pour chaque catgorie d'actions, Les documents que les actionnaires ont le droit de consulter avant l'assemble, Le texte des projets de rsolution qui seront prsents l'assemble par le conseil d'administration ou le directoire, Les formulaires de vote par correspondance et de vote par procuration ou le document unique de vote par procuration et de vote distance, la socit pouvant toutefois se dispenser de publier ces formulaires si elle les adresse tous ses actionnaires.
La Commission de Bruxelles stait galement empare du dossier dans une Communication de 2003 intitule Modernisation du droit des socits et renforcement du gouvernement d'entreprise dans l'Union europenne, notamment pour renforcer le droit des actionnaires des socits cotes et rgler le problme du vote transfrontalier188. On ralise les gains de productivit et la scurit des procdures par certificats lectroniques ; lactivation du PIN permettant daccder un compte dactionnaire et ainsi cocher les rsolutions ; la signature pouvant tre opposable en cas de contestation. Lunification de procdures transfrontires permettant lavenir de se prononcer pour des votes hors du pays de rsidence.
Idem Article 119. Cr par Dcret n2002-803 du 3 mai 2002 - art. 20 JORF 5 mai 2002 Abrog par Dcret n2007-431 du 25 mars 2007 - art. 3 (V) JORF 27 mars 2007. Les socits dont les statuts permettent aux actionnaires de voter aux assembles par des moyens lectroniques de tlcommunication doivent amnager un site exclusivement consacr ces fins. 185 La convocation lAG et un formulaire lectronique de vote distance lui sont alors envoys. Lactionnaire doit retourner le formulaire dment sign au plus tard quinze heures la veille du jour de la tenue de lassemble. 186 L'Association Nationale des Socits par Actions http://www.ansa.fr/ 187 Le choix du prestataire de services devrait tre arrt au cours de lanne 2011. 188 Un plan pour avancer [COM(2003) 284 final]. La directive 2004/109/CE a permis d'apporter des lments de rponse quant aux informations que les metteurs doivent divulguer au march. La prsente directive vise renforcer la protection des investisseurs en facilitant leur accs l'information et l'exercice de leurs droits, notamment sur une base transfrontalire.
183 184
_________________________________________________________________________________________________________________
49/ 133
FOURNITURE DIDENTITE ET INTERMEDIATION
3.1 Cercles de confiance Lidentit dun individu repose sur autant de profils quil exerce de relations avec des tiers. Il est tour tour citoyen, acheteur en ligne, joueur de tennis, boursicoteur, assur social ou grant de PME. On ne peut parler dattributs gnriques dans la mesure o lanonymat rgit le net, linternaute faisant valoir telle ou telle donne en fonction du prestataire en ligne. La notion de Cercle de Confiance part dun souci de fdrer les attributs chez de multiples acteurs avec qui lindividu entretient des relations sociales, commerciales, voire administratives. Ainsi lattribut adresse peut-il tre dtenu de faon privilgie par le prestataire Poste , qui, de plus, sera en mesure de lactualiser en fonction du changement de domicile, alors que rien noblige sa mise jour dans ltat civil, comme cest le cas dans certains pays189. Bien entendu, aucune consolidation des attributs190 nexiste ; leur communication entre prestataires se faisant sous contrle exclusif de layant droit. Ainsi ladresse peut-elle tre transmise des sites deCommerce pour livraison. Pareillement, lattribut date de naissance nintresse que quelques fournisseurs, soit pour dtecter des doublons patronymes identiques dans la mme localit ou rserver laccs aux adultes (jeux en ligne, notamment) ; mais, dans ce dernier cas, un critre de majorit suffit. On peut mme sinterroger sur la pertinence de la date de naissance, une fois garantie lidentit de linternaute ? Lapproche SAML est bien adapte une gestion dcentralise des attributs de faon prserver la vie prive. Les requtes sont transmises par les dtenteurs de donnes, mais sur demande explicite de lusager. Un Cercle de Confiance se compose ainsi dattributs contextuels adresse, NIS. autour dun noyau central reprsent par ltat civil, patronyme et date de naissance. Ltude de lUniversit Paris Dauphine191 ralise fin 2004 auprs de 1300 internautes fournit des informations prcieuses quant la transmission de donnes en matire danonymat. Si certains sont prts mentir pour obtenir ce quils souhaitent (14% des internautes interrogs le font souvent voire systmatiquement), dautres cherchent conserver une part de secret, en omettant par exemple les champs facultatifs. Une autre solution consiste recourir un pseudo. La moiti des rpondants prfrent ainsi lutiliser plutt que de fournir leur vritable identit 192. Fort rpandu de nos jours sur la toile, le pseudo constitue une seconde et vritable identit numrique , qui tend surpasser lidentit relle.
Cest le cas de la Belgique, notamment. Aucune prestation sociale nest possible si ladresse du bnficiaire nest pas actualise Les membres du consortium FC rappellent lattachement de la CNIL prserver la pluralit des identifiants -en gnral- en fonction des besoins sectoriels, plutt quune identit numrique unique [Rencontre avec la CNIL du 26 fvrier 2008] 191 Caroline Lancelot-Miltgen, doctorante en marketing, centre de recherche DMSP (Dauphine Marketing Stratgie Prospective). 192 Idem
189 190
_________________________________________________________________________________________________________________
50/ 133
Le pseudo constitue la seconde identit des internautes. Dans ltude de Paris Dauphine, plus de 80% des personnes interroges confirment en faire un usage rgulier
Dans la majorit des cas, linternaute, qui avance masqu, exige des garanties avant de divulguer ses donnes. Des offres promotionnelles peuvent favoriser la communication mais, dans une majorit de cas, les rcompenses montaires sous forme de cadeaux ou dargent sont globalement peu plbiscites, voire carrment stigmatises. Pour une grande majorit dinternautes en effet, le fait dtre pay ne les inciterait pas donner davantage dinformations193 . Numros de cartes de crdits et coordonnes tlphoniques sont considrs comme des informations sensibles do la relative stagnation de 3D Secure, qui ncessite denvoyer un numro de portable son banquier alors que le mail pseudo driv du prnom est facilement transmis.
Contrairement lusage OutreAtlantique, o les internautes troquent des informations prives contre des avantages financiers, le franais se montre rfractaire la marchandisation de donnes personnelles (Etude Paris Dauphine 2004)
Ltude de Dauphine, qui rpartit les dinternautes en quatre classes, met le doigt sur un point fondamental : le CSP+, identifi par le CREDOC194 comme un pro du web, appartient la catgorie des dsintresss , particulirement avares de leurs donnes. Plus on est duqu, moins on communique dinformations195. Les trois autres classes tmoignent dune gradation du niveau de donnes communiques sur la toile :
Caroline Lancelot-Miltgen, doctorante en marketing, centre de recherche DMSP (Dauphine Marketing Stratgie Prospective). Etude CREDOC 2009 les Franais et les technologies de linformation. 195 Les Dsintresss partager leurs informations.. si cela ne les implique pas de faon trop importante. Peu friands des avantages .. en change de donnes, demandeurs de scurit et de confidentialit. Contre toute marchandisation de leurs donnes personnelles, refusant catgoriquement de remplir un formulaire contre une rtribution sonnante et trbuchante. Caroline Lancelot-Miltgen, doctorante en marketing, centre de recherche DMSP (Dauphine Marketing Stratgie Prospective).
193 194
_________________________________________________________________________________________________________________
51/ 133
Les Rticents donnent les notes les plus faibles tous les avantages . offerts. Comportement systmatique dvitement.. Position de principe .ne pas dlivrer dinformation, quelle que soit la contrepartie propose. Les Ngociateurs .position de donnant-donnant. ..Dlivrer des informations en contrepartie davantages : meilleur prix, un cadeau, une meilleure personnalisation. .Pas systmatiquement leurs donnes personnelles mais conscience .. quelles reprsentent une valeur dchange. Les Bienveillants dlivrent facilement des donnes personnelles, quelles que soient les circonstances, condition quils obtiennent des garanties en termes de confidentialit et de scurit. Ils se distinguent aussi par le fait de voir dans la fourniture dinformations personnelles un bnfice hdonique : en rpondant, ils ont ainsi le sentiment dtre utiles, voire de rendre service..
Ainsi les Bienveillants - niveau dtude infrieur Bac+2 -, sont-ils les plus gnreux vis--vis des sites en ligne. Ils sont la cible de malveillances, tmoins les tentatives de phishing visant soutirer des informations confidentielles concernant les comptes bancaires et cartes de crdit. Ltude de Paris Dauphine corrobore le baromtre CDCACSEL sur la rticence communiquer des donnes. Les assidus de la toile sont les plus avertis en matire de transmission dinformations sensibles.
_________________________________________________________________________________________________________________
52/ 133
3.2
3.2.1
Les fournisseurs didentit

Lidentit rgalienne
La Carte Nationale dIdentit Electronique
Bien quelle ait t initie peu aprs les annes 2000, la Carte dIdentit Electronique est mentionne par Eric Besson, alors le Secrtaire dtat lEconomie Numrique, dans son Rapport 2012 , notamment lAction n 76 : la Carte Nationale dIdentit Electronique contribue refonder le lien entre ltat et le citoyen. Internet peut ainsi davantage faciliter la participation directe des citoyens aux processus dcisionnels publics, via notamment lorganisation de consultations grande chelle. Internet peut permettre la mobilisation dun nombre important de personnes, travers un systme de ptition en ligne, respectueux de la loi informatique et liberts. La CNIe constitue donc lun des chantiers de ltat qui vise Dployer partir de 2009, la carte nationale didentit lectronique, sur la base dun standard de signature lectronique fortement scuris, pour atteindre, terme, un objectif de 100 % de citoyens titulaires dune carte nationale didentit lectronique Cette carte constitue le versant hexagonal du projet franco-allemand IAS196 (Identification Authentification Signature) ECC rfrenc comme CEN/TS 15480-1, Identification card systems European Citizen Card197 par le Comit Europen de Normalisation. Contrairement aux pays qui ne proposent que le volant identitaire, cette initiative rpond aux exigences dauthentification de services en ligne par une segmentation du titre en deux parties : voyage et eServices ; do lactivation optionnelle de certificats authentification, et signature dlivrs en mairie aux ayants droits. Grce cette carte dlivre en face face - et gratuitement -, ltat se positionne comme un acteur fort de lconomie numrique, capable de proposer une rponse juridique aux services en ligne : authentification par activation du PIN et signature de documents force probante, grce un lecteur USB connect au PC de linternaute. A la diffrence des multiples identits sectorielles ou contextuelles la CNI se prsente comme le vecteur dune didentification gnrale, comme le prcise le rapport Truche198 :
Elle est dlivre par ltat ; Elle vise des fins didentification gnrale et non des usages spcifiques (comme le permis de conduire ou le passeport) ;
Le passeport
Bien que le passeport dans sa nouvelle version constitue un document hautement scuris, il ne peut tre utilis pour des accs en ligne par activation de certificats. Ralis dans un mode sans contact pour un contrle frontire, il na pas vocation tre lu par lusager, bien quil soit considr comme une carte didentit universelle.
Le permis de rsident
Le permis de rsident199 - ou carte de sjour - rpond une demande de la Commission Europenne qui vise rglementer les modalits dinstallation dtrangers dans les pays de lUnion. Carte didentit pour les non-natifs, elle intgre des fonctions IAS similaires la CNIe. Donc une possibilit de sauthentifier et signer en ligne, au mme titre que nos concitoyens : comptes bancaires, jeux, demande de prts, services de ltat.
LANTS et le GIXEL se sont fortement mobiliss sur ce projet CEN/TS 15480-1 Identification card systems - European Citizen Card Part 1: Physical, electrical and transport protocol characteristics. CEN/TS 15480-2 Identification card systems - European Citizen Card Part 2: Logical data structures and card services. CEN/TS 15480-3 Identification card systems - European Citizen Card Part 3: European Citizen Card Interoperability using an application interface. 1st consultation approved in Oct. 2008, TC approval planned for the end of 2009. CEN/TS 15480-4 Identification card systems - European Citizen Card Part 4: Recommendations for ECC issuance, operation and use Ongoing work within preliminary work item (no deadline) 198 Rapport Truche ; Administration lectronique et protection des donnes personnelles. Paris 2002 199 Le titre de sjour est la reconnaissance par l'administration au droit de rester temporairement dans un pays. Pour prouver ce droit, on dlivre une carte de sjour . Une carte de sjour est un document officiel dlivr sous certaines conditions par l'administration de certains pays. La carte de sjour documente le droit la rsidence (gnralement temporaire, parfois renouvelable) d'un ressortissant tranger. Elle peut galement servir ou tenir lieu d'autorisation de travail dans certains pays. En cas de sjour prolong (plusieurs annes), on demande alors un titre de rsident.
196 197
_________________________________________________________________________________________________________________
53/ 133
Le permis de conduire
Cens tre dlivr dater du 19 Janvier 2013, le nouveau permis de conduire rpond aux exigences de la troisime Directive (2006/126/EC) qui recommande lusage dune puce lectronique. La norme ISO 18013200, pousse par de nombreux pays aux registres dtat civil dfaillants, en fait quasiment un clone de la CNIe. Les fonctions accessibles en contact et sans contact permettent dintgrer des certificats dauthentification et de signature de faon faciliter les dmarches en ligne : demande de carte grise, location de vhicules
3.2.2 Linitiative IDNUM
Historique
Lance par la Secrtaire dtat lEconomie Numrique le 1 Fvrier 2010201, linitiative IDNUM vise labliser des fournisseurs didentit en provenance du secteur priv202 sur la base dun cahier des charges203 driv du Rfrentiel Gnral de Scurit204. "Le produit IDNUM se prsente sous la forme dun dispositif physique scuris dans lequel se trouvent des lments propres son propritaire, que ce dernier peut dverrouiller, par un code PIN. Ces lments propres sont deux bi-cls cryptographiques lune ddie lauthentification, lautre la signature lectronique pour lesquelles chaque cl publique a t certifie205. Ce programme propose aux cybercitoyens de prouver leur identit en ligne mais galement de signer des documents ou transactions en recourant aux mcanismes cryptographiques asymtriques des certificats ; une initiative qui pourra tre conduite en parallle la dlivrance de CNIe, dont il peut constituer une extension. En effet, les certificats IDNUM ne seront dlivrs quaprs contrle dun titre didentit en cours de validit. Le label ne vise nullement remplacer la CNIe, ntant pas un titre didentit, mais un moyen didentification en ligne pouvant se dcliner sous de multiples support : cl USB, SIM, microprocesseurs, etc..
Spcifications techniques
Sur la base du RGS206, le programme IDNUM vise un haut niveau de scurit207 mais surtout linteroprabilit entre services ; condition fondamentale pour familiariser les internautes avec des accs en ligne208. Notamment les exigences du RGS version 1.0 telles que spcifies dans les annexes [RGS_A_8] et [RGS_A_7] :
Politique de Certification Type Signature lectronique 209, niveau de scurit trois toiles (***) pour des certificats lectroniques de type particulier de signatures. Politique de Certification Type Authentification 210, niveau de scurit trois toiles (***) pour des certificats lectroniques de type particulier dauthentification.
Information technology Personal identification ISO-compliant driving licence http://www.telecom.gouv.fr/actualites/1-fevrier-2010-label-idenum-identite-numerique-multi-services-2311.html 202 http://www.telecom.gouv.fr/fonds_documentaire/internet/presidenum.pdf 203 Sur les fonctions dauthentification : Chapitre 3.2 du RGS : http://www.ssi.gouv.fr/IMG/pdf/RGSv1-0.pdf - annexe B3 du RGS : http://www.ssi.gouv.fr/IMG/pdf/RGS_B_3.pdf - annexe A2 du RGS : http://www.ssi.gouv.fr/IMG/pdf/RGS_fonction_de_securite_Authentification_V2-3.pdf - annexe A7 du RGS : http://www.ssi.gouv.fr/IMG/pdf/RGS_PC-Type_Authentification_V2-3.pdf 204 JORF n0029 du 4 fvrier 2010. Texte n1. Dcret n 2010-112 du 2 fvrier 2010 pris pour lapplication des articles 9, 10 et 12 de lordonnance n 2005-1516 du 8 dcembre 2005 relative aux changes lectroniques entre les usagers et les autorits administratives et entre les autorits administratives 205 IDNUM. Cahier des charges. Version de travail 09/07/2010 206 Ses modalits dlaboration et de publication sont prcises au dcret n 2010-112, dit dcret RGS . La premire version du [RGS] a t rendue officielle par arrt du Premier ministre en date du 6 mai 2010 207 Les spcifications IDNUM sont trs largement drives du Rfrentiel Gnral de Scurit ([RGS]) issu de lordonnance n 2005-1516 du 8 dcembre 2005, dite ordonnance tlservices . 208 Le Cahier des charges cite des services en ligne tels que : consultation en ligne de factures, ouverture en ligne dun compte bancaire, virements et transactions bancaires, inscription denfants en crche, la cantine, la bibliothque, inscription sur les listes lectorales, dmarches dtat civil, demandes dallocation CAF ou de cong parental. 209 version 2.3 du 11 fvrier 2010 210 Idem
200
201
_________________________________________________________________________________________________________________
54/ 133
La politique de certification devant respecter les exigences suivantes :

Procdure de vrification de lidentit des futurs porteurs dun produit IDNUM ; Fonction de gnration des lments secrets du porteur et de remise au porteur ; Utilisation dun numro didentification du porteur du produit IDNUM ; Nommage explicite des porteurs dans les certificats de signature lectronique et dauthentification ; Cls cryptographiques de lautorit de certification utilises pour signer les certificats lectroniques ; Vrification de la rvocation dun certificat lectronique ; Procdure de dblocage du produit IDNUM ; Vrification de ladresse mail du porteur du produit IDNUM prsente dans les certificats lectroniques ; Gabarit des certificats lectroniques.
Procdure de vrification de lidentit des futurs porteurs dun produit IDNUM
Lenrlement constitue la phase critique, aussi la vrification didentit est-elle effectue lors dun face face physique avec le candidat lobtention du certificat 211 sur prsentation dun titre en cours de validit:
CNI ou passeport pour les ressortissants franais ; Passeport mis conformment au rglement (CE) n 2252/2004 du Conseil europen du 13 dcembre 2004 pour les ressortissants de communaut europenne ; Carte de sjour dans les autres cas.
De plus, le Cahier des charges propose dintroduire des bonnes pratiques sur les vrifications effectuer pour sassurer de lauthenticit des documents produits212.
Identification des dtenteurs
Dans un premier temps, les certificats IDNUM ne seront dlivrs qu des individus majeurs avec confirmation de leur mail. Comme leur nom figurera dans le certificat, lanonymat nest pas possible213. Le programme IDNUM a suscit lintrt de moult prestataires potentiels, soit quils disposent du face face , indispensable la dlivrance dun certificat qualifi, soit quils dtiennent une infrastructure: support (puce lectronique) et rseau de tlcom pour activation des CRL. Linitiative IDNUM sinscrit dans un contexte visant respecter la vie prive des citoyens, en ne transmettant que le minimum de donnes. Par contre, rien nexclut que les fournisseurs didentit Banques, telcos, autres - saisissent lenrlement des attributs spcifiques leurs mtiers. Des donnes qui pourront tre rcupres par adhsion un cercle de confiance, mais sur consentement explicite de layant droit.
3.2.3 IDNUM vs CNIe
Il est vraisemblable que les deux initiatives soient conduites en parallle, chacune dynamisant lautre. La possibilit de disposer dune CNIe, dlivre par les services de ltat, pourrait ainsi favoriser lusage de supports didentification du secteur priv. Par ailleurs IDNUM ne se positionne nullement comme un document didentit, mais comme un label didentification en ligne pouvant prendre diffrentes formes : cl USB, SIM la carte ntant nullement privilgie dans la mesure o elle ncessite ladjonction dun lecteur supplmentaire.
Tel que prvu aux chapitres III.2.3.1 et IV.3 de [RGS_A_7] et [RGS_A_8] Mise en uvre de bonnes pratiques visant lintgrit des titres, voire la formation du personnel cette tche. Sassurer par exemple: que le titre didentit prsent est un original (exemples dindices de falsification : aspect rcent dune pice didentit prtendument dlivre il y a plusieurs annes, lieu de dlivrance diffrent du lieu du domicile indiqu au recto du document) ; de labsence de caractres dimprimerie de mauvaise qualit, mal disposs, de fautes dorthographe ; que les numros de la pice didentit ne sont pas tamponns mais imprims ; de labsence de grattage, gommage ou surcharge ; de labsence dinvraisemblance des renseignements mentionns sur la pice didentit prsente (exemples : ge du porteur ne correspondant pas avec lge donn par le document, absence de ressemblance avec la photo didentit) ; documents faux (ex : aspect rcent dune pice prtendument dlivre il y a plusieurs annes, permis de conduire indiquant larrondissement de la ville dans laquelle il a t dlivr, lieu de dlivrance diffrent du lieu du domicile indiqu au recto du document).] 213 Dans le cadre dIDNUM, il est prcis, vis--vis des chapitres III.1 de [RGS_A_7] et [RGS_A_8], que les noms des porteurs dans les certificats lectroniques ne peuvent tre ni anonymes ni pseudonymes. Les noms et prnoms ports sur le titre didentit prsent doivent tre employs.
211 212
_________________________________________________________________________________________________________________
55/ 133
On anticipe que la future CNIe constitue un socle partir duquel les usagers se constitueront des identits multiples en fonction de besoins en ligne. Une perspective sduisante mais qui ncessite une forte interoprabilit entre fournisseurs de services, les internautes tant peu enclins changer de moyen dauthentification en fonction du site. Le succs des smartphones et tablettes, de plus en plus riches en fonctionnalits, va certainement favoriser le march des certificats sur cartes SIM, vu le peu de scurit des mcanismes de type identifiant / mot de passe et le souhait des usagers de procder toute opration en ligne, mme en mobilit.
3.2.4 Les oprateurs potentiels IDNUM
Les Banques
Dj pionnire en certificats, grce sa Politique dAcceptation Commune (PAC)214, dfinie sous lgide du CFONB, la banque se positionne comme un acteur potentiel DNUM, la PRIS/RGS devenant la rfrence du secteur en matire de certificats numriques. Une stratgie215 en cohrence avec les infrastructures de confiance mises en place vis--vis de services en ligne et tl-procdures de ladministration216. Cette PAC saligne sur SWIFT217, standard mondial, de faon assurer linteroprabilit lors dune transaction linternational218 et garantir une ouverture sur le monde non bancaire. Mme approche pour des signatures en ligne opposables en cas de litige.219 La PAC vise un fort niveau dinteroprabilit de faon ce que les certificats bancaires puissent tre utiliss dans des secteurs non financiers. Les certificats de signature ont ainsi une vocation intersectorielle, sachant que la banque dispose dj dune demande intrieure forte.
Politique dAcceptation Commune PAC. Rf. : Version 2.0 CFOMB 02 juin 2009 La PAC rpond aux besoins des promoteurs dapplications communes ou propres aux tablissements bancaires et financiers dclares conformes la PAC, mais peut tre largie des applications spcifiques pour rpondre des besoins des : tablissements bancaires et financiers de pays tiers, Partenaires tiers non bancaires (franais ou de pays tiers) Et encore : Par ailleurs, la PAC permet un metteur de certificats attests conformes la PAC de plus largement diffuser ses certificats, un porteur de certificat dlargir les cas dusage de ses certificats. Idem 216 Idem 217 Lintrt de la PAC cest de sappuyer sur des normes dinterchange puissantes hrites de SWIFT et Etebac5. Ainsi la PAC reconnait-elle les organisations qui ne sont pas reconnues comme adhrentes la PAC, uniquement dans des fonctions dacceptation, c'est--dire dans un rle de promoteur dapplications, la condition que : Lorganisation prcise systmatiquement et trs clairement quelle nest pas adhrente la PAC Ses applications acceptent lensemble des certificats des AC attests conformes la PAC Lorganisation sengage respecter les volutions de la PAC au niveau des fonctions dmission : nouvelle AC rfrence, suppression dun AC ou dune gamme de certificats La mise niveau doit se faire dans les 3 mois suivant la publication sur les sites officiels de la nouvelle version de la PAC Lorganisation respecte les rgles dontologiques associes la PAC, tant au niveau de lapplication acceptrice de certificats que de lorganisation ellemme Lorganisation informe lmetteur de certificats, en cas dincidents Lorganisation respecte les droits de proprit intellectuelle sur la PAC En aucun cas, une organisation non adhrente la PAC ne peut engager la responsabilit dune organisation adhrente, en faisant rfrence la PAC. 218 Pour jouer ce rle dAC mondiale les banques se sont naturellement tournes vers leur cooprative (Swift) qui a donc dvelopp une solution ayant beaucoup de similitudes avec Etebac 5 et susceptible dtre accepte par des banques de nombreux pays, commencer bien entendu par la France. Cette solution est en cours de test par une dizaine dentreprises, des banques et les diteurs de logiciels. Le pilote prendra fin cet t et les banques commenceront commercialiser les certificats de Swift lautomne 2010. N271 Juillet-Aot 2010 La Lettre du trsorier Signature lectronique des ordres de paiement : un peu de vocabulaire. Par Herv Postic, associ Utsit. Le remplacement dEtebac 5, que ce soit par Ebics profil TS ou Swift, introduit une modification dans la gestion des dispositifs de scurit et des preuves. Quelques prcisions de vocabulaire sont utiles pour aborder ce changement. 219 Politique dAcceptation Commune PAC. Rf. : Version 2.0 CFOMB 02 juin 2009
214 215
_________________________________________________________________________________________________________________
56/ 133
La stratgie de la sphre bancaire vis--vis du label IDNUM nest pas arrte ce jour. Un comit de pilotage a t constitu aprs lannonce de la Secrtaire dtat de linitiative de faon prciser les points suivants220 :
Gouvernance Objectifs Modle conomique Primtre Certificats qualifis
La rflexion se poursuit, notamment la possibilit que les certificats bancaires puissent tre utiliss par dautres secteurs. Vu le potentiel interne (eBanking, souscription de produits financiers, crdit la consommation, virements, banque en ligne, etc ), la banque dispose dun march intrieur qui lui permet de rebondir sur dautres activits ncessitant de sidentifier en ligne. Reste prciser le modle conomique.
Les oprateurs tlphoniques
Soucieux de diversifier leurs offres de service, les oprateurs tlphoniques ont saisi lintrt du programme IDNUM, dautant plus que louverture dun compte, et le face face client, leur confre une forte lgitimit pour dlivrer des certificats qualifis. Dautant plus que ces oprateurs disposent dj dune infrastructure pour faire face des malveillances, fraudes et usurpation de cartes SIM. Lenrlement constitue la phase critique aussi des prestataires se positionnent-ils pour combiner saisie des donnes dtat civil221 et contrle des pices. Lenjeu, cest lintgrit du titre didentit - CNI ou passeport - par vrification de la bande MRZ mais surtout du laminat222 et cohrence des donnes du contrat : adresse, rfrences bancaires du chque de caution ou de la carte de crdit223. Dtenteurs privilgis des donnes dtat civil, nos oprateurs entendent se positionner comme des acteurs de lidentit en proposant des certificats dauthentification et de signature, mais galement en embarquant des certificats tiers pour des fournisseurs didentit ne possdant pas de support224. Les oprateurs ne sont pas les seuls disposer du face face client ; aussi sera-t-il essentiel de saccorder sur une norme denrlement base de titres didentit - CNI, passeport, carte de rsident, permis de conduire et justificatifs dadresse, factures EDF, RIB. Une investigation tant en cours pour que des codes barres puissent certifier lintgrit de documents aujourdhui falsifiables225. Les acteurs sont nombreux : banque distance, crdit la consommation, la poste. Lapproche kiosque des oprateurs tlcoms pourrait tre une voie explorer de faon mutualiser linfrastructure de saisie. Les oprateurs tlcoms se positionnement comme des acteurs majeurs de lidentit sur internet. En effet, le mobile, cest une possibilit de sauthentifier sur nimporte quel PC, nimporte ou dans le monde sans lecteur USB, cl ou carte additionnelle ; le certificat du portable permettant de confirmer lidentit de linternaute indpendamment du poste daccs. Cest donc une stratgie qui combine mobilit et authentification bi-canale, comme propos par 3D Secure. Bnficiant dun support scuris 226 et dun rseau pour dtecter les certificats suspects, nos telcos regardent aujourdhui les secteurs sur les quels positionner leur offre.
220 Entretien Daniel Savoyen, Crdit Agricole. 221 Patronyme, nom, date de naissance, adresse 222 Le contrle des pices didentit est du mme niveau que la police des frontires 223 La socit Ariadnext propose ce type dquipement. La personne qui signe et filme. Une demande de certification CSPN, Certificat Scurit Premier Niveau de lANSSI est en cours 224 Cest actuellement la rflexion de SFR, Madame Stphane Baudais 225 Un code barres d'identification des documents : " Nous avons un programme de travail avec le Ministre de l'Intrieur et Michel Bergue qui est le dlgu fraude, sur le code barres 2D Datamatrix qui permet de capter une partie de l'identit, l'adresse, et de l'inclure dans un secret que nous sommes en mesure de lire et de savoir y compris distance si l'on se trouve face un vrai ou un faux document. " Prfet Raphal Bartolt. Confrence 8 mars 2011, sur la carte nationale d'identit lectronique. Maison de la Chimie ; Paris 226 SIM L4+
_________________________________________________________________________________________________________________
57/ 133
Rappelons que la Banque de France recommande multiples dispositifs de scurit personnels de faon confirmer lidentit dun internaute lors dachats en ligne. Pourquoi ne pas activer un certificat comme alternative la communication dun SMS entre tlphone et PC ? Dans ce contexte, le service de loprateur devient plus substantiel que la simple transmission dun code, donc gnrateur dune offre dauthentification forte prciser. Si lergonomie des tlphones est encore limite pour boursicoter, acheter en ligne ou remplir une procdure administrative, lessor des smartphones, mais surtout des tablettes, va dynamiser ce march et offrir aux oprateurs un rle privilgi ; les internautes devenant de plus en plus enclins se connecter non plus domicile mais lors de dplacements227.
Le notariat
Les notaires reoivent aujourdhui prs de 15 millions de personnes dans leurs tudes pour rdiger des actes authentiques ; ils bnficient donc dun face face privilgi par rapport aux officiers publics et ministriels. A la diffrence des banques et oprateurs tlphoniques qui se contentent de vrifier lintgrit dun titre didentit, ils ont accs aux fichiers dtat civil des mairies, notamment la capacit juridique dun individu, des donnes essentielles pour qui veut ouvrir un compte bancaire ou souscrire un prt. Si lon tablissait une gradation des fournisseurs didentit, en fonction des attributs disponibles, les notaires se verraient sans doute attribuer une place privilgie. En effet, tirant profit de leur march domestique , les notaires peuvent se positionner comme des fournisseurs didentit IDNUM. Comme prcis dans le chaptre prcdent, la mise disposition dun espace de travail scuris entre tudes et usagers ncessitant un dispositif dauthentification forte carte puce, cl USB lusager pourrait lutiliser dautres fins une fois remis par le notaire : accs aux services de ladministration, comptes bancaires, jeux en ligne..suivant un modle financier dfinir. La profession na pas pris de dcision concernant linitiative IDNUM, mais elle rflchit son positionnement vis--vis dautres acteurs comme les banques et oprateurs tlphoniques qui disposent dun support (carte puce, SIM) et dun rseau permettant didentifier les certificats frauds. Quelle peut tre la matrialisation dune offre des notaires : carte, cl USB, certificat logiciel ? Mais une alliance avec un fournisseur didentit dans une architecture SAML 228 peut galement tre envisage ?
La Poste
Bnficiant dune dlgation de service public, la Poste est habilite contrler lidentit des destinataires de courriers recommands. Un face face dont bnficient la fois facteurs et bureaux de poste, qui, de plus, sont en mesure de confirmer ladresse. Deux attributs majeurs qui confrent loprateur historique une position de choix dans le paysage de lidentit, connaissant son besoin de relais de croissance229, suite la perte du monopole des courriers de moins de 50 g. En Mai 2010, la Poste devenait lun des laurats230 de lappel doffre du plan de relance du Secrtariat dtat charg de la Prospective et du Dveloppement de lEconomie numrique par son projet IDENTIC . Un service qui le positionne comme un acteur de la confiance sur internet en visant la distribution dune identit numrique certifie qui scurise de manire optimale les changes lectroniques. 231 Grce au
A ce jour, 9 franais sur 10 sont quips dun mobile, et seulement 1 sur 5 (21,3%) possde un Smartphone. Mais une trs forte progression est attendue de la part de ces quipements de mobilit. 228 In order to access protected resources at a service provider, users authenticate to their identity provider ("thinking locally" because they do not need to authenticate to a remote service provider, just an identity provider with which they have a closer trust relationship). Based on this authentication, they are then able to access resources at one or many service providers ("acting globally"). Federation is the dominant movement in identity management today. Federation refers to the establishment of business agreements, cryptographic trust, and user identifiers or attributes across security and policy domains to enable more seamless cross-domain business interactions. Just as web services promise to enable integration between business partners through loose coupling at the application and messaging layer, federation does so at the identity management layer insulating each domain from the details of the others" authentication and authorization infrastructure. OASIS SAML V2.0 Executive Overview. Committee Draft 01, 12 April 2005 229 Perte du monopole en date du 1 Janvier 2011 230 Comptant parmi les 44 projets retenus (sur 340) 231 IDENTIC : une identit numrique certifie. http://www.laposte.fr/Le-Groupe-La-Poste/Actualites/IDENTIC-une-identite-numerique-certifiee Le groupe La Poste a candidat lappel projets sur le Web innovant lanc par le secrtariat dtat charg de la prospective et du dveloppement de lconomie numrique dans le cadre du plan de relance. Comptant parmi les 44 projets retenus (sur 340), "IDENTIC" vise ancrer le Groupe comme un acteur majeur de lInternet de la confiance en visant la distribution dune identit numrique certifie qui scurise de manire optimale les changes lectroniques. Seule grande entreprise de services slectionne par le jury avec de jeunes pousses et acteurs du monde du web, le groupe La Poste montre
227
_________________________________________________________________________________________________________________
58/ 133
support de la startup franaise MyID is Certified232, un agent dlivre en face face une Identit Numrique Certifie (INC). Lide, terme, tant de proposer un portail daccs par une dmarche de type LaPoste Connect , inspire de FaceBook. IDENTIC permet de vrifier lidentit et ladresse, deux attributs prcieux pour le eCommerce de faon viter la fraude lors dachats en ligne. Une labellisation est mme envisage par un sigle de type Identit vrifie par la Poste 233 pour mettre en confiance les commerants. IDENTIC nutilise pas de certificats ; la procdure base sur identifiant / mot de passe, visant essentiellement des applications de eCommerce. Par contre loprateur historique a dbut une rflexion dans le cadre dIDNUM par le biais de sa filiale Certinomis, oprateur de certification. Laccord pass avec SFR pour une offre MVNO - oprateur alternatif - permettra loprateur de disposer dun parc de tlphonie, donc de cartes SIM. Un portfolio de services et canaux de distribution vari pouvant combiner les offres, notamment sur mobiles. Considrant que la Poste dispose galement de Digiposte anciennement Digicoffre - un service de coffre-fort lectronique scuris234, le groupe sera en mesure de proposer une gamme complte de services en ligne .
3.3
Le Cercle de Confiance met en uvre une relation entre prestataires de services et fournisseurs didentit, dont certains dtiennent des attributs pouvant intresser les autres. Le recours un tiers utilis pour vrifier lidentit prend son origine dans le droit. Ainsi lacte de notorit , exig pour la transmission dun bien aprs dcs, est-il dress par un officier public ou ministriel en prsence de tmoins qui attestent de lidentit dune personne et leurs relations avec le dfunt. Une tradition ancienne qui privilgie les rapports entre individus ltat civil235. Le recours un tiers constitue le fondement du cercle de confiance, lidentit tant confirme par un fournisseur, tel un notaire dans la cadre dune transaction. Dans ce contexte, la notion de jeton passif corrobore celle dattributs numro unique, qualit, photographie, - la diffrence dun jeton actif qui contient une information secrte , pouvant tre dclenche par son dtenteur, cl USB ou la carte puce.
ainsi sa capacit dinnovation et sa volont de travailler au dveloppement de linternet de la confiance. Le projet IDENTIC runit trois partenaires aux comptences complmentaires : le groupe La Poste, la jeune pousse MyID.is Certified et le laboratoire CEREGE de lUniversit de Poitiers dans le but de dvelopper une offre mme de fournir aux individus une Identit Numrique Certifie (INC). Linnovation du projet IDENTIC est la fois technologique et organisationnelle. Elle sappuie dune part sur une procdure en ligne crypte et dautre part sur la remise en face--face de lINC par un agent de La Poste. Loriginalit de la solution retenue rside dans la complmentarit de cette solution la fois click et mortar avec cryptage mais aussi dans la vrification de la pice didentit et la remise en main propre de lINC. La certification dune identit numrique a vocation renforcer la confiance dans toutes les activits en ligne. Le Web 2.0 a conduit un rel dveloppement des usages sur Internet travers de multiples formes de participation en ligne. La cration de profils sur les rseaux sociaux numriques, de blogs, de multiples comptes dutilisateurs (pseudos, e-mails, avatars) associs la publication de donnes personnelles, la croissance du e-commerce comme celle du nombre de joueurs en ligne portent au tout premier plan la question de lidentit des individus en ligne. Certaines problmatiques se rvlent particulirement complexes notamment en ce qui concerne les questions didentification lors dachat en ligne, de gestion didentits multiples ou dusurpation didentits sur le Web. Les initiatives rcentes au travers de la charte pour la promotion de lauthentification sur Internet montrent la ncessit de disposer de solutions dauthentification adaptes. Cest dans ce contexte caractris la fois par une demande forte de la part des internautes et dune relle volont de lEtat que sinscrit le projet IDENTIC. 232 Cr en avril 2007, MyID.is Certified se positionne comme une plate-forme franaise de certification d'identit sur Internet. Ce service permet par exemple de prouver que son utilisateur est bien l'auteur d'une photo poste sur un rseau social ou d'un commentaire sur un blog. Concrtement, MyID.is se prsente comme une page Netvibes, la diffrence que MyID.is agrge l'ensemble des contenus produits sur Internet par son utilisateur sur une seule page Web. Cette plate-forme peut galement stocker des mots de passe. Plusieurs niveaux de scurit permettront de dfinir quelles informations l'internaute rend publiques ou prives. Le service est encore en bta prive. http://www.journaldunet.com/ebusiness/le-net/actualite/voici-les-start-upsles-plus-innovantes-du-web-08/myid-is-certified-france.shtml 233 Entretien avec Olivier Desbiey. Strategic Marketing Inteligence. La Poste Innovation & e-services Development Division 234 DigiCoffre est un vritable coffre-fort numrique personnel pour conserver de faon scurise et durable vos fichiers numriques. 7 jours sur 7 et 24h sur 24, (linternaute peut) dposer et protger (ses) contenus lectroniques : documents bureautiques (textes, tableaux, prsentations), fichiers multimdia (musiques, vidos, photos) ou toutes pices sensibles numrises (copies de Carte Nationale dIdentit, copies de factures, contrats ou bulletins de salaire). Une faon simple, efficace et scurise de matriser une copie de sauvegarde. L'accs DigiCoffre est scuris par un mot de passe personnel et confidentiel. Les changes entre lordinateur et DigiCoffre sont chiffrs. Les fichiers numriques conservs dans (le) coffre-fort DigiCoffre sont galement chiffrs pour en garantir la confidentialit. Ces fichiers sont rgulirement sauvegards automatiquement par DigiCoffre. DigiCoffre garantit lintgrit des fichiers dposs, la datation des actions effectues et lauthentification des utilisateurs. https://www.digicoffre.com/index.php?m=e2c90ed8&a=9dd23a34 235 Ces tmoins seront videmment majeurs, non maris entre eux et non parents du dfunt mais auront par contre bien connu celui-ci.
Fourniture didentit et interoprabilit
_________________________________________________________________________________________________________________
59/ 133
Les fournisseurs didentit dlivrent des certificats lectroniques authentification et signature permettant dtablir un lien biunivoque avec un individu. Il est fondamental que ces prestataires sinscrivent dans un contexte normatif de faon assurer une interoprabilit technique minimale, cest ce quon appelle une infrastructure cl publique. Le Cercle de Confiance permet de respecter la vie prive en ne confrant aux prestataires que le minimum des donnes ncessaire leur activit. La CNIL vise au respect de ce principe afin dviter la constitution de bases de donnes centralises. De plus, elle rappelle que les sphres dintervention des secteurs public et priv doivent tre respectes avec, pour chacune, un identifiant diffrent ; do une pluralit didentits, en fonction de besoins sectoriels plutt quune identit unique, les attributs pouvant tre rpartis entre multiples fournisseurs (tat civil, prestataires). De faon prserver la vie prive, lanonymat constitue lune des rgles du web, mais ceci nexempte nullement le fournisseur didentit de conserver les donnes exiges lors de lenrlement. Ainsi la Directive europenne sur la Signature lectronique, dans son attendu 25, lgitime-t-elle le recours un pseudonyme dans la mesure o celui-ci contribue une protection des donnes236, mais Il convient que les dispositions relatives l'utilisation de pseudonymes dans des certificats n'empchent pas les tats membres de rclamer l'identification des personnes conformment au droit communautaire ou national . Les fournisseurs didentit sont rgis par le Dcret du 30 mars 2001237 qui dtaille leurs obligations juridiques, notamment larticle 6-II238 prvoyant leur charge, l'obligation de conserver, ventuellement sous forme lectronique, toutes les informations relatives aux certificats lectroniques qui pourraient s'avrer ncessaires pour faire la preuve en justice de la certification lectronique ou d'utiliser des systmes de conservation des certificats qui garantissent que
Directive 1999/93/CE du Parlement europen et du Conseil, du 13 dcembre 1999, sur un cadre communautaire pour les signatures lectroniques Il convient que les dispositions relatives l'utilisation de pseudonymes dans des certificats n'empchent pas les tats membres de rclamer l'identification des personnes conformment au droit communautaire ou national; http://www.certificat-electronique.fr/doc/legislation/parl_directive1999-93.pdf 237 Dcret n2001-272 du 30 mars 2001 pris pour l'application de l'article 1316-4 du code civil et relatif la signature lectronique. http://www.legifrance.gouv.fr/affichTexte.do?cidTexte=LEGITEXT000005630796 238 6.II. - Un prestataire de services de certification lectronique doit satisfaire aux exigences suivantes : a) Faire preuve de la fiabilit des services de certification lectronique qu'il fournit ; b) Assurer le fonctionnement, au profit des personnes auxquelles le certificat lectronique est dlivr, d'un service d'annuaire recensant les certificats lectroniques des personnes qui en font la demande ; c) Assurer le fonctionnement d'un service permettant la personne qui le certificat lectronique a t dlivr de rvoquer sans dlai et avec certitude ce certificat ; d) Veiller ce que la date et l'heure de dlivrance et de rvocation d'un certificat lectronique puissent tre dtermines avec prcision ; e) Employer du personnel ayant les connaissances, l'exprience et les qualifications ncessaires la fourniture de services de certification lectronique ; f) Appliquer des procdures de scurit appropries ; g) Utiliser des systmes et des produits garantissant la scurit technique et cryptographique des fonctions qu'ils assurent ; h) Prendre toute disposition propre prvenir la falsification des certificats lectroniques ; i) Dans le cas o il fournit au signataire des donnes de cration de signature lectronique, garantir la confidentialit de ces donnes lors de leur cration et s'abstenir de conserver ou de reproduire ces donnes ; j) Veiller, dans le cas o sont fournies la fois des donnes de cration et des donnes de vrification de la signature lectronique, ce que les donnes de cration correspondent aux donnes de vrification ; k) Conserver, ventuellement sous forme lectronique, toutes les informations relatives au certificat lectronique qui pourraient s'avrer ncessaires pour faire la preuve en justice de la certification lectronique. l) Utiliser des systmes de conservation des certificats lectroniques garantissant que : - l'introduction et la modification des donnes sont rserves aux seules personnes autorises cet effet par le prestataire ; - l'accs du public un certificat lectronique ne peut avoir lieu sans le consentement pralable du titulaire du certificat ; - toute modification de nature compromettre la scurit du systme peut tre dtecte ; m) Vrifier, d'une part, l'identit de la personne laquelle un certificat lectronique est dlivr, en exigeant d'elle la prsentation d'un document officiel d'identit, d'autre part, la qualit dont cette personne se prvaut et conserver les caractristiques et rfrences des documents prsents pour justifier de cette identit et de cette qualit ; n) S'assurer au moment de la dlivrance du certificat lectronique : - que les informations qu'il contient sont exactes ; - que le signataire qui y est identifi dtient les donnes de cration de signature lectronique correspondant aux donnes de vrification de signature lectronique contenues dans le certificat ; o) Avant la conclusion d'un contrat de prestation de services de certification lectronique, informer par crit la personne demandant la dlivrance d'un certificat lectronique : - des modalits et des conditions d'utilisation du certificat ; - du fait qu'il s'est soumis ou non au processus de qualification volontaire des prestataires de services de certification lectronique mentionne l'article 7 ; - des modalits de contestation et de rglement des litiges ; p) Fournir aux personnes qui se fondent sur un certificat lectronique les lments de l'information prvue au o qui leur sont utiles.
236
_________________________________________________________________________________________________________________
60/ 133
l'introduction de la modification des donnes est rserve aux seules personnes autorises cet effet par le prestataire et que toute modification de nature compromettre la scurit du systme puisse tre dtecte . Un cadre strict dans la mesure o lanonymat sur le web exige en contrepartie une confirmation de lidentit, de faon garantir la traabilit des usagers au cas o des malveillances surviendraient. Ainsi, le certificat lectronique comporte-t-il des mentions obligatoires : nom du porteur, cl publique, autorit de certification, signature de cette autorit et dure de validit239.
Les arrts du 31 mai 2002 (art. 7) et du 26 juillet 2004 fixent les conditions dans lesquelles ces prestataires peuvent demander tre reconnus comme qualifis , aprs valuation et selon une procdure d'accrditation des organismes de qualification dcrite dans ce mme arrt. Ces organismes sont eux mmes accrdits par le Comit franais d'accrditation (Cofrac) et la Direction centrale de la scurit des systmes d'information (DCSSI) contrle la dlivrance des accrditations.
239
_________________________________________________________________________________________________________________
61/ 133
4
4.1
4.1.1
ATTENTE DES ACTEURS VIS-A-VIS DE LIDENTITE ELECTRONIQUE

Typologie des accs en ligne
Identification / authentification
Lidentit peut tre considre comme un profil, matrialis par des cartes, badges, laissez-passer.. qui atteste dune lgitimit vis--vis dune entit : nation, entreprise, club sportif, assurance maladie.. Ses attributs sont tant gnriques - date de naissance, patronyme, etc. que contextuels numro daffiliation, grade dans une entreprise. Seul ltat est en mesure de faire le lien entre les identits, grce aux obligations lgales des fournisseurs. Comme recommand par la CNIL, le prestataire gradue les modalits daccs en fonction de la criticit du service, ainsi de nombreuses tlprocdures ne ncessitent-elles quune simple identification. Lauthentification forte sinscrivant dans un cadre rglementaire qui ncessite larchivage mme lectronique dun dossier de preuve. Une procdure non ncessaire lorsquil sagit de consulter des feuilles de soins, points retraite ou le montant de son impt. Par contre, ds que le fournisseur de service a lobligation darchiver des lments de preuve, lauthentification forte se justifie, quil sagisse de prestataires privs banque, eCommerce ou des services de ltat. Dans le cas dune authentification, la simple dclaration de donnes ne suffit pas, le service en ligne exigeant que linternaute active une preuve code secret, mot de passe, biomtrie attestant dun lien biunivoque entre lui-mme et lidentit quil revendique. Do les trois modes dauthentification couramment utiliss
Authentification par connaissance (Ce que lon sait). o Il sagit traditionnellement de mots de passe ou de codes secrets (PIN). Authentification par proprit (Ce que lon a). o Cartes puce, cl USB, jeton, cl.. Authentification by caractristique (Ce que lon est ). o Recours la biomtrie de faon confirmer telle ou telle caractristique de lusager.
Il est traditionnellement accept quune combinaison des trois modes dauthentification constitue un moyen plus sur que le recours lun ou lautre des procds, voire une combinaison de ceux-ci. La Directive 99/93/EC240 dfinit le cadre juridique de la Signature Electronique, notamment par larticle 5.1, lquivalence entre certificat lectronique et signature manuelle. Mais, reste pose la lgitimit dune relation biunivoque entre signature et identit. Sans doute une question qui sera traite dans le cadre dune nouvelle mouture de la Directive241. Enfin, la signature lectronique ne peut tre refuse par les tribunaux au motif qu'elle est tablie par un procd lectronique, qu'elle soit qualifie ou simple. En revanche, la signature qualifie bnficie de la prsomption de fiabilit ce dont ne dispose pas la signature simple. Une signature lectronique est dite qualifie si elle rpond aux exigences dcrites en annexe de l'arrt du 26 juillet 2004242 relatif la reconnaissance de la qualification des prestataires et l'accrditation des organismes qui procdent leur valuation. Cette annexe vise la norme AF Z74-400, traduction franaise de la spcification technique de l'ETSI (European Technical Specification Institute) TS 101 456 "exigences relatives aux autorits de certifications lectroniques243 dlivrant des certificats qualifis"244.
Directive 1999/93/CE du Parlement europen et du Conseil, du 13 dcembre 1999, sur un cadre communautaire pour les signatures lectroniques Mandat M 460 de la Commission, voir pages suivantes p.127 242 Arrt du 26 juillet 2004 relatif la reconnaissance de la qualification des prestataires de services de certification lectronique et l'accrditation des organismes qui procdent leur valuation 243 La demande d'accrditation adresse par un organisme un centre d'accrditation doit comprendre les lments suivants :
240 241
_________________________________________________________________________________________________________________
62/ 133
Le protocole IAS
Initi par la France et lAllemagne dans le contexte du projet de carte dIdentit Europenne, le protocole IAS constitue une avance majeure, tant dun point de vue smantique que juridique. En effet, sidentifier ne signifie nullement sauthentifier apporter une preuve didentit - et en aucun cas signer un document, qui entrine une relation contractuelle entre parties. Les spcifications IAS sont bases sur les standards suivants
ISO 7816, ISO 7816-15 CWA 14169 (Secure Signature Creation Device) CWA 14890 E-Sign (Application Interface for Smart Card used as Secure Signature)
Le CWA - CEN Workshop Agreement - dfinit le cadre technique de faon promouvoir lusage de cartes puce comme SSCD Secure Signature Creating Device (SSCD) 245. Le protocole IAS se compose de trois blocs :
Bloc identitaire o Accessible seulement aux autorits habilites o Contient les donnes faciales de la carte: photos numrise, minuties biomtriques, Bloc dauthentification o Mcanisme qui prouve la proprit de la carte. o Authentification qualifie par Code PIN Bloc de signature lectronique o Code PIN pour signature lectronique
4.2 Les enjeux de lidentit lectronique Augmenter les taux de transformation en ligne constitue la proccupation majeure des prestataires de services, sachant que la moiti des tentatives dachats naboutissent pas. Mme constat pour les demandes de crdits ou les promesses non honores de paiement hors internet. Les solutions base de certificats se situent donc la conjonction de deux proccupations, augmenter les taux de transformations tout en constituant un dossier de preuves. Le succs dun service de paiement comme Paypal confirme que la mise en mmoire de donnes sensibles comme des numros de carte de crdit est peru comme acceptable sil est protg par un mot de passe. Bien entendu, il est illusoire de prtendre doubler les ventes ou la prise de crdits en ligne par des procds base de certificats. Nombre dinternautes surfent sur les sites sans conclure, une fois prcises les conditions de vente, de livraison, voire de crdit, par soucis de sinformer. Pourtant un pourcentage non ngligeable de ces curieux du web est dcourag par des crans multiples, ou mme des demandes de confirmations ritres. Cest prcisment cette population qui peut tre conforte par des procds simplifis, mais qui satisfassent les juristes.
1. Les statuts de l'organisme, son rglement intrieur et tout autre texte rgissant son fonctionnement ; 2. Les noms et qualits des dirigeants de l'organisme et des membres de son conseil d'administration ou des organes en tenant lieu ; 3. Les noms et les qualifications des personnels de l'organisme prenant part la procdure d'valuation ; 4. La description des activits de l'organisme, de sa structure et de ses moyens techniques ; 5. Les comptes des deux exercices prcdents ; 6. La description des procdures et des moyens qui seront mis en uvre par l'organisme pour valuer les prestataires de services de certification lectronique en vue de reconnatre leur qualification, compte tenu des normes ou prescriptions techniques en vigueur. L'organisme demandeur doit en outre signaler au centre d'accrditation les liens ventuels qu'il a avec des prestataires de services de certification lectronique. En ce cas, il doit prciser les mesures qu'il compte mettre en uvre pour viter tout conflit d'intrts. L'organisme demandeur doit disposer, conformment la clause 2.1.2.e de la norme NF EN 45012, d'une structure en son sein qui prserve son impartialit. Cette structure doit notamment comprendre un reprsentant de la direction centrale de la scurit des systmes d'information, un reprsentant de l'agence pour le dveloppement de l'administration lectronique et un reprsentant de la direction gnrale de l'industrie, des technologies de l'information et des postes. 244 http://www.lsti-certification.fr/index.php?option=com_content&view=article&id=61&Itemid=38&lang=fr 245 EN 14890-1 defines the basic requirements for an SSCD that fulfils the generic IAS-services (Identification, Authentication and Digital Signature). EN 14890-2 specifies additional requirements for an SSCD that fulfils the generic IAS-services (Identification, Authentication and Digital Signature).
_________________________________________________________________________________________________________________
63/ 133
4.2.1
Gains de productivit
Les gains de productivit se situent essentiellement lors de la constitution dun dossier lenrlement dont la communication de pices, parfois primes ou de mauvaise qualit, pnalise la performance des sites en ligne. La signature de tout contrat ouvre galement des perspectives de rentabilit, dautant plus si loffre package ne ncessite pas de traitement sur mesure ; ce qui est le cas dassurance crdits dont les taux sont immdiatement calculs, sans possibilits de ngociation. Gains de productivit et taux de transformation ne sont pas contradictoires. Comme le contrle didentit constitue une partie importante du dossier client, lintrt du certificat est double : affranchir linternaute de sa preuve didentit et le prestataire du contrle, par recours un tiers, sorte de notaire virtuel. De plus, lattribut adresse demand par souci dviter les homonymies, ne sera plus ncessaire, dans de nombreux cas, du moment que lidentit est certifie. Difficile de quantifier le gain de productivit par certificats, dautant plus que la part identitaire dun dossier ne bnficie pas dune comptabilit analytique, des frais de marketing et communication restant ncessaires, mme dans le cas de procdures en ligne ! Rappelons les hypothses de notre tude de 2007, encore actuelles dans la mesure o lauthentification forte ne sest pas impose sur le march de linternet : Les tablissements de crdit connaissent actuellement une croissance moyenne du nombre de prts denviron 10 12% par an. Bien que les offres via internet soient encore mineures aujourdhui (infrieur 20%), ce sont celles qui connaissent la plus forte progression, aux dpens des canaux traditionnels comme les grandes enseignes ou le tlmarketing. Ici, les frais moyens de conqute peuvent tre estims plus de 200 Euros par client, si lon intgre la somme des cots tels que marketing, rdaction /envoi /retour du contrat, traitement et vrification des pices, suivi de dossier246. Un ratio de lordre de 5% si on value lencours moyen des prts 4000 Euros247 248. Grce des certificats, nous envisagions que le rapport entre prt moyen et cot de conqute pourrait diminuer de 5% 3,75%, soit un gain de productivit de plus de 200 Millions dEuros si on estime le total dencours des tablissements de crdit plus de 14Mds Euros. Pareillement, le traitement du cross-selling, entirement gr sur le web, deviendrait relativement modique, lensemble de la relation avec le client tant dmatrialise sachant que le contrle de pices actualises reste indispensable, mme pour un client connu. Dans ce cas, le ratio encours / conqute tombe 3%, do un gain de productivit de plus de 600 Millions dEuros sur un total estim de 10 Mds dEuros en cross-selling . Des hypothses encore valables, vu labsence de procds dauthentification et de signature en ligne malgr la maturit des prestataires.
4.2.2 Nouveaux marchs
Le march de lauthentification se compose dune multitude de niches pesant entre 20 et 200 millions, voire davantage, faute dune killer application qui, par un succs dusage, entrainerait dautres marchs. On rve dun effet Minitel paiement diffr ; ce qui na aucune chance de se reproduire, vu que nous sommes dans un mcanisme du contrle daccs et non de contenus. On anticipe que les prestataires de services en ligne ne modifieront pas leurs systmes dinformation activation du PIN, CRL avant que le march de lauthentification ne fasse preuve de maturit, certainement quelques annes. Il pourrait donc tre envisag dexternaliser cette procdure auprs dintermdiaires qui assureraient ce mcanisme auprs des dtenteurs didentit.
4.2.3 Roaming didentit et cercle de confiance
A partir dun bouton authentification, linternaute pourrait slectionner son fournisseur didentit parmi un panel de candidats ; charge celui-ci de communiquer des attributs complmentaires en fonction du service : majorit, adresse, date de naissance.. ; le tout sous contrle de layant droit
Dans cette tude, et suite aux entretiens raliss, nous estimions la gestion de la preuve didentit 5-10 Euros, une hypothse qui nous parait encore pertinente aujourdhui. 247 Nous avions valu ce chiffre comme une moyenne entre les crdits revolving (750 2000 Euros), les crdits consommation (1000-4000 Euros) et les rachats de crdits (2500-35K Euros) 248 Etude Standarmedia Afnor 2007
246
_________________________________________________________________________________________________________________
64/ 133
Appelons IDP (Identity Provider) les fournisseurs didentit et SP (Service Provider) les prestataires de services en ligne. Lorsque linternaute se connecte un SP, il est dans un mode roaming similaire aux oprateurs de tlphonie mobile linternational ; charge au prestataire local didentifier le titulaire de labonnement pour percevoir sa partie de revenus. Ce roaming didentit correspond bien la problmatique du Cercle de Confiance ; linternaute se connectant comme le voyageur chez un prestataire (SP) dont il nest pas client. Comme il dispose de plusieurs fournisseurs didentit, il privilgie celui qui garantit le maximum dinteroprabilit. Lappartenance un Cercle de Confiance vite lensemble des prestataires en ligne (SP) de signer des accords bilatraux avec tous les fournisseurs didentit (IDP)249, une procdure fastidieuse qui limiterait, terme, le nombre dIDP et SP ; chaque nouvel intervenant devant formaliser une relation contractuelle avec les parties en prsence. Dans cette approche, la rmunration du service de certification didentit se partage entre lIDP titulaire de lenrlement - et le Cercle de Confiance qui garantit lintgrit des acteurs. Cette approche est galement celle dInfoCard de Microsoft, conu comme un point dentre (Single Sign On) vis--vis de sites scuriss, la diffrence prs que toute interaction entre usagers et prestataires devra tre active par certificat ; le couple identifiant / mot de passe noffrant pas suffisamment de garanties. Dans la mesure o les solutions de SSO, voire de coffres-forts lectroniques, ambitionnent de se positionner vis--vis de services en ligne, il est fondamental quelles incorporent lavenir des mcanismes dauthentification forte base de certificats; rciproquement les offres de SSO du march constituent une piste privilgie pour le dveloppement de projets didentit dans la mesure o elles sappuient sur des architectures solides qui pourra contribuer au dveloppement de nouveaux standards sur lensemble de la chane de traitement.
4.2.4
Acceptation dune identit dans un cercle de confiance
Le Schma figur cicontre (Wikipedia, SAML) dcrit le mcanisme de recherche dattributs par protocole SAML. Le fournisseur de services demande des attributs complmentaires qui sont transmis par le fournisseur didentit, sur contrle explicite de lusager. Le schma250 SAML ci-dessus ncessite que le prestataire de services en ligne (SP) ait au pralable pass un accord avec le fournisseur didentit (IDP), notamment le principe dune rmunration en change dun gain de productivit sur le contrle didentit. Si ce nest le cas, il fera appel un Cercle de Confiance
Mais ceci ncessite dintresser les multiples intervenants fournisseur didentit, fournisseur dattributs, intermdiaire didentit la manire dont le rseau Visa se rmunre, mme si Paypal assure la transaction lors dun achat en ligne. 250 Wikipedia
249
_________________________________________________________________________________________________________________
65/ 133
comme dcrit ci-dessus. Le rle du Cercle de Confiance ncessite la mise en uvre dun rpertoire (Directory) de prestataires de services (SP) et fournisseurs didentit (IDP) avec qui sont signs des accords de partage des revenus. Ce schma est dcrit par les spcifications du mcanisme de la Swiss ID qui met en uvre les composants suivants :

251
dans sa version de Juin 2010
Fournisseur didentit (IDP) : Autorit dauthentification base sur les standards SAML 2.0 Service de requte (Claim Assertion Service (CAS) : Une autorit de requte dattributs base sur SAML 2.0. Architecture Client / Serveur pour authentification forte et demande dattributs complmentaires Fournisseurs de services (SP) dont les procdures dauthentification forte et la demande dattributs est base sur SAML 2.0 Rpertoire (Directory) faisant le lien avec dautres fournisseurs didentit de faon communiquer des attributs complmentaires252.
Lautorit de certification (IDP) hberge la fois des donnes gnriques mais galement des attributs complmentaires qui pourront tre requis par certains services : date de naissance, adresse, etc Par contre il est fondamental dappartenir un Cercle de Confiance grce auquel fournisseurs didentit (IDP) et prestataires de services (SP) pourront changer des donnes, sans ncessairement devoir passer des accords bilatraux (Cahier des Charges Swiss ID Digital Certificates and Core Infrastructure Services).
SuisseID Specification. Digital Certificates and Core Infrastructure Services. Version 1.3 June 10, 2010 SuisseID Specification. Digital Certificates and Core Infrastructure Services. Version 1.3 June 10, 2010 1. The Core Infrastructure consists of two distinct services: a. Identity Provider (IdP). An authentication authority according to the SAML 2.0 standards [17]. Its purpose is to confirm identity by means of SAML 2.0 assertions; b. Claim Assertion Service (CAS). An attribute authority according to the SAML 2.0 standards acting as a distributor of SAML 2.0 attribute assertions. 2. Client/User: Recent browser technology is required to support the web frontend usage pattern (Web SSO and web-based attribute query). Other usage patterns can be applied, such as document signing and Identity Selectors that support the information card paradigm using WS-Trust identity and attribute assertions; 3. Applications: Service Providers integrate services and applications into the CAI, possibly taking advantage of the rich functionality offered by the IdP/CAS. For Web SSO and web-based attribute queries, applications will use SAML 2.0 HTTP POST profile; 4. Directory- & Assertion Services: Directory and database providers may introduce additional IdP and CAS services to provide business-relevant assertions about the certificate owner, like "the person is a registered notary" or "the person is a registered medical doctor".
251 252
_________________________________________________________________________________________________________________
66/ 133
4.3
Rduction de la fraude
Typologie de la fraude
LObservatoire de la scurit des cartes de paiement de la Banque de France 253 a dfini une typologie de la fraude en fonction de lorigine des malveillances :
Carte perdue ou vole : le fraudeur utilise une carte de paiement linsu de son titulaire lgitime, suite une perte ou un vol ; Carte non parvenue : la carte a t intercepte lors de lenvoi au titulaire lgitime par lmetteur. Ce type de fraude se rapproche de la perte ou du vol. Cependant, il sen distingue, dans la mesure o le porteur peut moins facilement constater quun fraudeur est en possession dune carte lui appartenant; Carte falsifie ou contrefaite : une carte de paiement authentique est falsifie par modification des donnes magntiques, dembossage ou de programmation. La contrefaon suppose la cration dun support donnant lillusion dtre une carte de paiement authentique et/ou susceptible de tromper un automate ou une personne quant sa qualit substantielle.
La fraude sur les paiements distance est en hausse constante (0,263 % en 2009) pour un montant valu 52 millions deuros. Un taux encore plus lev pour les paiements transnationaux, qui reprsentent 7% de la valeur des transactions, et comptent dsormais pour 57% du montant de la fraude. Un pourcentage relativiser, vu la croissance du commerce sur la toile (+40%/an) et la valeur des paiements distance (+ 17,1 % en valeur, 19,7 % en volume)
Transformation vs fraude
Augmenter les taux de transformation constitue lobjectif majeur des prestataires de services en ligne, bien davantage que lutter contre la fraude. Si lon value prs de 50% les transactions de eCommerce (30 milliards dEuros) non abouties, rsorber les taux dchec pse bien plus lourd que les quelques 0,26% de fraude sur les cartes de crdit. Rappelons le point suivant La fraude sur les cartes de paiement, principal moyen de paiement utilis en France, reste faible. Comme prs dun acheteur sur deux en moyenne abandonne la transaction dachat entre la validation de la commande et le paiement, les e-commerants sont priori rticents renforcer la scurit du paiement au risque de complexifier la transaction et daugmenter encore le taux dabandon. 254 Par contre, et vu la croissance du commerce lectronique (40%/an), le montant estim de la fraude aux cartes de paiement constitue un potentiel denviron 50 millions deuros, devant permettre des
En France, lObservatoire de la scurit des cartes de paiement, publie chaque anne un rapport qui inclut les donnes concernant le commerce lectronique grce un partenariat avec la FEVAD qui sappuie sur un chantillon de 33 entreprises de vente distance reprsentant 38% du chiffre daffaires des adhrents de la FEVAD. 254 Consortium FC, Gestion des identits, analyse des contextes juridique, socio-conomique et socital. Paris 2010.
253
_________________________________________________________________________________________________________________
67/ 133
intermdiaires de proposer des solutions base de certificats ? - et ventuellement rebondir sur dautres secteurs255 ncessitant une scurit des paiements en ligne256. Dernier point investiguer, les achats en ligne depuis ltranger, dont le taux de fraude est 5,5 fois plus lev que celui constat en France : 1,44% contre 0,26% ! Vu les travaux entrepris par les CEN /CENELEC /ETSI257 sur la rvision de la Directive 99/93258 et les enjeux du programme STORK, lidentit transfrontire constitue un Use Case majeur pouvant favoriser le eCommerce. Un mcanisme base de certificats confirmation de lidentit du porteur ? - devant contribuer minimiser les tentatives de rpudiation au paiement depuis ltranger. .
Rappelons que lInspection Gnrale de lAdministration travaille la mise ne uvre dune base nationale des pices didentit perdues ou voles dans le cadre dune mission relative la fraude. Il parait essentiel que cette base soit accessible aux fournisseurs didentit, notamment au stade de lenrlement, de faon ce que les procdures dauthentification en ligne puissent endiguer les tentatives de fraude. 256 En France, le taux de fraude sur les achats en ligne augmente en 2009 0,263% contre 0,235% en 2008. Le montant de la fraude en ligne slve 51,9 millions deuros. Le taux de fraude sur Internet reste trs lev par rapport aux transactions physiques: le taux est presque 7 fois plus lev que le taux global (0,263% contre 0,038%). Rapport Banque de France. Fraude aux cartes de crdit sur le commerce en ligne. Paris 2010 257 Le 22 dcembre 2009, la Direction Gnrale Entreprises et Industrie, Politique de l'innovation Industries TIC pour la comptitivit et l'innovation de la Commission Europenne a confi un mandat (M460) aux organismes Europens de normalisation (CEN, CENELEC et ETSI) dans le domaine des technologies dinformation et de communication appliques aux signatures lectroniques. Le propos de ce mandat est de ractualiser le contenu de la directive 1999/93/CE, texte adopt par le Parlement europen et le Conseil en dcembre 1999 de faon tablir un cadre juridique pour la signature lectronique et pour les fournisseurs de services de certification au sein du march intrieur. 258 Mandat 460 de la Commission, voir p.127
255
_________________________________________________________________________________________________________________
68/ 133
4.4
4.4.1
La vision du consommateur
Confiance vs automatisation
La communication de donnes constitue une proccupation des internautes ; ainsi la relative stagnation du procd 3D Secure par SMS ncessite-t-elle une rflexion pralable la mise en uvre de nouveaux mcanismes. La multiplicit des crans suscite en gnral la rticence des usagers et fait chuter les taux de transformation. Lacceptation dun priphrique dauthentification relve du contexte culturel ; ainsi une tude de Gartner mentionne259 la prfrence des usagers pour lauthentification un ou deux mots de passe, plutt que ladjonction dun systme matriel ou logiciel. Alors que le Gie Cartes Bancaires constate linverse260 en France. Lexprimentation MSP (Mon.Service-Public.fr), conduite par la DGME, fait tat de difficults rencontres par les usagers pour installer les lecteurs de cartes aux PC. Cette problmatique de mass market ne doit pas tre sousestime, notamment le cot du terminal gratuit ou prix symbolique une rflexion qui a t au cur du succs Minitel il y a plus de 20 ans ! . Alors que la biomtrie est majoritairement considre comme une donne sensible , son usage pour une connexion scurise ne semble pas rebuter les internautes et la majorit des enqutes converge sur ce point261.
Cette acceptation de la biomtrie, qui nest pas neutre, pourra tre considre comme une alternative au Code PIN pour des accs distants, comme cest le cas dans certains pays ayant implment leur CNIe. Il est vrai que les technologies de MOC, Match On Card, permettant de contrler lidentit en local (1 :1) limitent les craintes quant une capture de cette donne sensible.
Livre Blanc, Gestion des Identits, Analyse des Contextes juridique, socio-conomique et socital. Consortium FC Enqute Mdiamtrie, Gie CB. Selon une tude Groupement des Cartes bancaires sur lauthentification42, 65 % des internautes sont favorables lutilisation dun botier (lecteur de carte puce avec clavier) connect leur PC. 261 Pour le choix dune mthode dauthentification renforce, les consommateurs semblent sduits par les systmes biomtriques (reconnaissance vocale, empreinte digitale, rseau veineux, reconnaissance diris, etc.). Ils sont sans doute rassurs par le fait de toujours porter leur ssame sur eux, condition bien entendu que les techniques didentification considres soient fiables. Cest ce que souligne une tude mene par Unisys43 en mai 2006 dans 14 pays. Elle confirme la prfrence exprime par des utilisateurs pour des techniques didentification biomtriques (66%), devant les technologies de type lecteur de cartes puce (46%), jeton de scurit (42%), ou le rajout dun mot de passe supplmentaire (15%).
259 260
_________________________________________________________________________________________________________________
69/ 133
Cette perception positive de la biomtrie est relaye par la CNIL qui nexclut pas, priori, le recours lauthentification biomtrique dans les cas suivants262, bien entendu sous rserve dune justification du procd :
Match On Card (1 :1) Systme sans trace Dtection du caractre vivant de linternaute, exemple rseau veineux (et non une empreinte pouvant tre copie) du doigt 4.4.2 Confidentialit vs scurit
Caroline Lancelot-Miltgen263, dans son tude de Paris-Dauphine, a bien peru que la transmission de donnes sur la toile ncessite un rapport de lgitimit entre linternaute et le service264. Davantage en confiance vis--vis dun compte dont il est titulaire, il se mfie des sites qui, sous prtexte davantages remises, facilits de paiement dbutent la procdure par une enqute, ncessitant lenvoi de donnes sensibles : numro de tlphone, adresse, etc Ainsi distingue-t-elle 4 critres qui conditionnent la transmission des donnes265 :
Confidentialit perue : Confiance dans la capacit du rcipiendaire garder les informations confidentielles lien avec la scurit perue Sensibilit perue : Degr de sensibilit de linformation Pertinence perue : Lgitimit, proportionnalit de la demande dinformation par rapport au type de transaction Equit perue : rapport cot / bnfice perus
Par contre, le web constitue lauberge espagnole des pseudos266, mais ceci nest nullement contradictoire dans la mesure o lanonymat constitue un ssame dusage, contrairement au processus denrlement, ncessairement rigoureux des fins denqute en cas de malveillance. Parmi les donnes sensibles et sources de prudence, numros de carte de crdit et coordonnes tlphoniques, en raison des risques de divulgation. Ceci peut expliquer, partiellement, le peu denthousiasme suscit par 3D Secure, dautant que le numro de portable, davantage que celui du domicile, est considr comme une donne critique. Par contre lemail, en majorit un pseudo, est communiqu sans rserve.
Entretien avec Monsieur Gwendal Le Grand. CNIL. 263 Caroline Lancelot-Miltgen, doctorante en marketing, centre de recherche DMSP (Dauphine Marketing Stratgie Prospective. Etude Dauphine Fvrier 2006. Linternaute et ses donnes. Ce quon dit, ce quon fait. 264 Avant toute chose, pour accepter de se dvoiler, une majorit de cyberconsommateurs attendent des garanties de confidentialit des informations divulgues et de scurit en cas de transfert des donnes. Ces garanties constituent tout la fois un pralable, un pr requis, une assurance et savrent donc indispensables ltablissement de la confiance. Viennent ensuite des avantages de nature utilitaire tels que des rductions de prix, un meilleur service ou des offres davantage personnalises. Ce type de bnfices peut constituer, pour certains internautes au moins, une contrepartie intressante, susceptible de les encourager rpondre. En revanche, les rcompenses montaires sous forme de cadeaux ou dargent sont globalement peu plbiscites, voire carrment stigmatises. Pour une grande majorit dinternautes en effet, le fait dtre pay ne les inciterait pas donner davantage dinformations. Idem 265 Rappelons que la CNIL exige deux principes de bases de la collecte de donnes, savoir que la collecte doit tre loyale, et que les donnes collectes doivent tre utilises uniquement pour la finalit pour laquelle elles sont t collectes. Gwendal Le Grand CNIL Fvrier 2011. 266 Si certains sont prts mentir pour obtenir ce quils souhaitent (14% des internautes interrogs le font souvent voire systmatiquement), dautres cherchent conserver une part de secret, en omettant par exemple les champs facultatifs. Une autre solution consiste recourir un pseudo. La moiti des rpondants prfrent ainsi lutiliser plutt que de fournir leur vritable identit . Trs rpandu de nos jours sur le web, le pseudonyme constitue donc dsormais une vritable identit numrique, qui tend parfois surpasser lidentit relle . Idem
262
_________________________________________________________________________________________________________________
70/ 133
Comme indiqu par le baromtre CDC-ACSEL267, linternaute fait dabord confiance ltat puis aux oprateurs privs en matire de communication de donnes :
La transmission dattributs didentits entre administrations est accepte par 57% des internautes En revanche la majorit des internautes rejettent cette possibilit avec des oprateurs privs
La rticence des internautes vis--vis de partenaires privs doit tre prise en compte dans la perspective de cercles de confiance. Le baromtre CDCACSEL rapporte cette dfiance bien que la communication dattributs se fera sous contrle exclusif de lusager. Rappelons limportance de lergonomie, sachant que prs de la moiti de transactions en ligne naboutissent pas. La multiplicit des crans, comme la facilit dusage, sont des lments dterminants du processus de confiance. Les familiers du web sont prompts suspecter une malveillance ; quant aux populations moins averties, elles seront facilement dcourages par des mcanismes complexes. Un point fondamental, lhomognit des procdures dauthentification de faon ce que les automatismes prennent le pas sur la suspicion. Le succs dun Paypal, bien quil mmorise des informations sensibles, vient de la facilit de mise en uvre du systme de paiement.
4.4.3 Les coffres-forts lectroniques
Les coffres-forts lectroniques nont pas bonne presse ; disposer en ligne des donnes sensibles feuilles dIR, bulletins de salaire nest pas ressenti comme un besoin par nos concitoyens ; rticence qui se justifie par labsence de procdures dauthentification en ligne. Le consortium FC rappelle que Dans le cas du pilote MSP (mon.service-public.fr), cette fonctionnalit avait t peu utilise, notamment par crainte que tous les sites fdrs puissent avoir accs aux donnes y tant archives (ex. la CAF qui pourrait avoir accs ma dclaration dimpt sur le revenu) 268. La crainte de divulgation dinformations reste forte, bien que toute garantie ait t donne aux bnficiaires quant la non-communication des informations. Par contre, la CNIL exclut ce jour le stockage de donnes sant dans ce type de dispositifs269.
4.4.4 Les certificats lectroniques
Bien quils ne soient pas encore rentrs dans lusage, les certificats bnficient dj dun capital de confiance. Ainsi le baromtre CDC- ACSEL rappelle que 3/4 des internautes, ayant fait leur dclaration dimpts en ligne, ont utilis un certificat lectronique et que son utilisation les a rassurs (80%)270.
267 Baromtre Caisse des Dpts/ACSEL La confiance des Franais dans le numrique Baromtre Caisse des Dpts/ACSEL La confiance des Franais dans le numrique. Mars 2010 http://www.associationeconomienumerique.fr/wp-content/uploads/2010/03/p4.pdf 268 Livre Blanc, Gestion des Identits, Analyse des Contextes juridique, socio-conomique et socital. Consortium FC 269 Article L1111-8 du code de la sant publique. Communication de Gwendal Le Grand CNIL. Fvrier 2011 270 Baromtre Caisse des Dpts/ACSEL. La confiance des Franais dans le numrique 11 mars 2010
_________________________________________________________________________________________________________________
71/ 133
Il est possible que les rcents dbats sur la future Carte Nationale dIdentit Electronique aient mis en confiance les futurs usagers car les chiffres traduisent une forte adhsion au procd. Le total de personnes intresses avoisine les 50%, score trs honorable, avant mme que le programme ait t lanc (Baromtre CDCACSEL)
Publi en Mars 2010, le baromtre CDC-ACSEL reflte la perception des franais vis--vis de lconomie numrique. Faisant une large part au projet de CNIe, il est antrieur linitiative IDNUM visant diversifier la fourniture de certificats pour des services en ligne. Il est donc opportun de pondrer ces rponses, le paysage identitaire stant diversifi depuis cette enqute. Point positif, nos concitoyens se montrent fort rceptifs vis--vis des projets didentit de ltat :
La carte didentit parat attractive pour prs de la moiti des individus (internautes ou non-internautes), et trs attractive pour une personne sur six. Au final, 20% des internautes seraient tout fait prts utiliser la CNIE, et 37 % seraient potentiellement utilisateurs.
A cet gard, la prsentation du concept de CNIe rpond bien un souci daccs en ligne scuriss. La carte didentit lectronique vous permettra de faire tout ce que vous pouviez faire avec la version actuelle de votre carte didentit : prouver votre identit, voyager en France et en Europe. De plus, grce lajout dune puce lectronique (comme sur les cartes bancaires), la carte d'identit lectronique permettra daccder des services en ligne. En l'insrant dans un lecteur connect votre ordinateur, vous pourrez prouver votre identit par Internet en toute scurit, apposer une signature lectronique (grce au certificat quelle contient) et ainsi signer en ligne des documents, complter des documents et formulaires
_________________________________________________________________________________________________________________
72/ 133
officiels de manire scurise, de faire des dmarches administratives distance Elle peut galement servir remplir automatiquement vos informations personnelles lors d'achats sur Internet, ou de pice didentit lors de la rservation de voyages ou d'htels, location de vhicule, etc, sans avoir ressaisir des donnes vous concernant271 . Prs de 60% des internautes sont disposs utiliser leur CNIe pour des services en ligne (Baromtre CDC ACSEL) Comme le sondage saccompagne des modalits de connexion en ligne, nos internautes font preuve dune forte maturit vis--vis de procds dauthentification et de signature.
Autre point pertinent du baromtre CDC-ACSEL La facilit dusage et le gain de temps potentiels sont les principaux avantages perus, y compris parmi les internautes non-intresss , preuve que la qualit des crans et lergonomie contribuent augmenter les taux de transformation, proccupation majeure des prestataires. Par contre, lenqute rappelle que Les freins lusage sont multiples, les plus forts tant lis aux risques dusurpation didentit, de mauvais fonctionnement, de confidentialit, et galement au fait de ne pas utiliser Internet . Des rticences qui pourront tre leves sur la base de garanties fortes, vu le capital confiance dont bnficie la future CNIe. Egalement fondamental, un souci la Paypal de ne pas ressaisir les donnes272 ; La simplicit demploi, et notamment le fait dviter de ressaisir les informations sont les principaux avantages perus par les internautes . Par contre la centralisation des donnes des identits constitue un frein important, associ au manque de scurit peru273 . Un souci partag par la CNIL qui affiche sa prfrence vis--vis de multiples prestataires didentit, de faon viter les possibilits de tracer les accs en ligne comme de consolider des informations ; des mcanismes pouvant contribuer au profilage des internautes. Le baromtre CDC-ACSEL rappelle que le point fort dune CNIe vient surtout de lergonomie et de la facilit dusage ; preuve que ces mcanismes permettront daugmenter les taux de transformation vis--vis de services sur la toile. Par contre, la communication de donnes personnelles, mme sil nest pas prioritaire, est mentionne par le quart des usagers.
Baromtre Caisse des Dpts/ACSEL. La confiance des Franais dans le numrique 11 mars 2010 Rappelons que Paypal est galement le premier service permettant des transferts de fonds sur internet entre particuliers avec un niveau de scurit gnralement peru comme acceptable et qu'il est possible d'alimenter son compte Paypal par chque ou par virement bancaire. On peut galement souligner que lune des grandes innovations de Paypal est de permettre un individu ne souhaitant pas utiliser sa carte bancaire en ligne de pouvoir tout de mme payer lectroniquement. Gwendal Le Grand. CNIL. Fvrier 2011 273 Idem
271 272
_________________________________________________________________________________________________________________
73/ 133
4.4.5 Les supports dauthentification Dans le cadre de cette tude, nos concitoyens se montrent trs conservateurs vis--vis des nouveaux supports didentit, le format papier traditionnel ou celui des cartes de crdit paraissant bien plus rassurants que les cls USB ou tlphones mobiles274. A la question En ce qui concerne votre tat civil, quel support Prfrez-vous pour prouver votre identit ? Le sondage confirme un fort conservatisme des usagers. (Etude IDATE/ACSEL) Mais ces rponses doivent tre nuances dans la mesure o, lors de cette enqute (2009), des offres de type IDNUM ntaient pas encore dactualit ; dautant plus que nos voisins helvtiques ont globalement plbiscit les cls USB pour lidentifiant Suisse ID (95%), un dispositif qui ne demande pas de lecteur additionnel et peut tre facilement transport avec lusager lors de dplacements. Autre lment important, la ncessit de prendre en compte smartphones et tablettes qui, terme, en embarquant des certificats, ont vocation se positionner comme des outils de la confiance. 4.5 Anonymisation et traabilit Anonymisation et traabilit ne sont pas des concepts antinomiques, une assertion confirme tant par la rglementation que les technologies disponibles. La traabilit pouvant tre assure plusieurs niveaux de la chane de confiance :
Emission dun certificat dauthentification
Cette procdure sinscrit dans le cadre de la Directive Europenne 1999/93/CE du Parlement europen et du Conseil du 13 dcembre 1999275, dont lattendu 25 rappelle que les dispositions relatives l'utilisation de pseudonymes dans des certificats ne doivent pas empcher les tats Membres dexiger l'identification des personnes conformment au droit communautaire ou national. Une mesure rappele par le Cahier des Charges IDNUM, issu du RGS, pour sa procdure denrlement des usagers276. Dune part, un certificat contenant peu de donnes conforme aux recommandations CNIL qui souhaite que le minimum soit communiqu -, de lautre, ltat civil de linternaute, qui reste proprit du fournisseur didentit, pouvant tre communiqu en cas de malveillance.
Enrlement
Mme si les donnes transmises sont minimales, les procdures denrlement des sites en ligne sont rigoureuses, vu la ncessit de prvenir les tentatives de malveillance, notamment le blanchiment de fonds. Ainsi, les oprateurs de jeux en ligne prservent lidentit sous forme de pseudos mais ont une obligation lgale de dtenir ltat civil de linternaute.
Les supports traditionnels tels que le papier ou la carte puce gardent leur crdibilit. Un dbut dintrt pour lauthentification par la biomtrique, notamment pour les non-internautes qui la jugent sans doute plus rassurante. Les supports tels que le mobile, lordinateur ou la cl USB ne sont pas encore perus comme des supports didentit, tant par les internautes que les noninternautes. 275http://www.certificat-electronique.fr/doc/legislation/parl_directive1999-93.pdf 276 Sur les fonctions dauthentification : Chapitre 3.2 du RGS : http://www.ssi.gouv.fr/IMG/pdf/RGSv1-0.pdf - annexe B3 du RGS : http://www.ssi.gouv.fr/IMG/pdf/RGS_B_3.pdf - annexe A2 du RGS : http://www.ssi.gouv.fr/IMG/pdf/RGS_fonction_de_securite_Authentification_V2-3.pdf - annexe A7 du RGS : http://www.ssi.gouv.fr/IMG/pdf/RGS_PC-Type_Authentification_V2-3.pdf
274
_________________________________________________________________________________________________________________
74/ 133
Une fois le pseudo tabli, le joueur se prsente en anonyme sur la toile, mais le prestataire mmorise ses accs dans un dossier de preuves ; ainsi le PMU rappelle que Le joueur accepte que tous ses changes avec le PMU concernant la plateforme de jeux : emails, SMS et appels tlphoniques soient enregistrs et conservs. Ces enregistrements seront la proprit du PMU et pourront tre utiliss comme preuve dans le cas dun litige, ou pour amliorer le service la clientle.277 Une prcaution qui rpond la demande de lARJEL de gestion des traces278 des joueurs.
PMU, Rglement des paris en ligne 2010 278 Arrt du 17 mai 2010 portant approbation du cahier des charges applicable aux oprateurs de jeux en ligne Description dtaille du frontal relative au stockage scuris des traces : stratgie dtaille employe pour la cration des traces ; architecture technique et fonctionnelle dtaille ; dsignation des sous-traitants ou fournisseurs ventuels ; spcification dtaille ; prcision des diffrents algorithmes employs ; spcification prcise du droulement de la crmonie de cls ncessaire ; spcification et rle des bi-cls utilises ; politique de scurit ; analyse de risques effectus ; rapports de tests effectus ; codes sources ; documents dadministration et dexploitation ; procdures mises en place notamment en terme de protection contre les accs non autoriss ; procdures mises en place notamment en terme de protection contre les accs non autoriss. Fourniture du certificat de scurit a minima de premier niveau du coffre-fort (ou fourniture du calendrier dobtention accompagn dune note du centre dvaluation ou du centre de certification attestant que la procdure de certification a t engage). Description dtaille des mcanismes dauthentification et de confidentialit mis en place (entre le joueur et le frontal, entre les diffrents modules du frontal, entre le frontal et la plate-forme). Description dtaille de la crmonie envisage pour linitialisation du coffre. Description dtaille des mcanismes dauthentification des personnes physiques au coffre. Description dtaille de loutil de collecte distance des fichiers de traces. Description dtaille de loutil de validation et dextraction des fichiers de traces. Description dtaille des mesures de scurisation du frontal. Description dtaille des fonctions dadministration des utilisateurs du frontal : spcifications dtailles ; code source ; rapports de tests. Etc
277
_________________________________________________________________________________________________________________
75/ 133
5
5.1
LE CADRE JURIDIQUE
Quelques jurisprudences trangres (tats-Unis dAmrique) concernant lauthentification Linstauration dun rgime de confiance sur les rseaux numriques repose sur un pr-requis simple : imputer une action ou une opration une personne dtermine. A dfaut, comment la confiance pourrait elle exister ? Ds lors, on comprend bien limportance de la phase dauthentification pour tout service de lInternet, notamment en raison de lessor de la cybercriminalit et de la fraude. Cette prise de conscience induit de soumettre les acteurs conomiques aux nouvelles exigences lies la scurisation de leurs activits, notamment via lauthentification et lidentit numrique. Ce phnomne de responsabilisation encore en dveloppement, a reu rcemment une confirmation de la part de la justice amricaine. Ainsi, dans une dcision du Tribunal de premire instance de lIllinois, dans une affaire Shames Yeakel vs Citizen Financial Bank en date du 21 aot 2009 (Case 07 C 5387)279, les juges ont accueilli favorablement la plainte dune victime dune cyber-attaque sur son compte bancaire en ligne, dpose contre ltablissement bancaire. Ltablissement bancaire a t condamn. Ce jugement remettait en cause lauthentification facteur unique (un seul canal didentification comme lidentifiant/mot de passe) pour protger laccs aux comptes bancaires en ligne. Les poux Shames-Yeakel taient les clients de Citizen Financial Bank. En fvrier 2007, une personne non identifie a accd, partir dune autre adresse IP que celle utilise par les Epoux, lun des comptes quils possdaient, en utilisant lidentifiant et le mot de passe de lpouse. Cette personne a ensuite effectu un virement lectronique dun montant de 26.500 US$ partir du compte. Largent a t alors transfr vers une banque se situant Hawaii pour finalement tre envoy vers une banque en Autriche. Quand le vol a t dcouvert et les fonds localiss, la banque autrichienne a refus de retourner la somme en question. Par la suite, Citizens Financial a dcid dengager la responsabilit des Epoux en exigeant le remboursement de sommes dues. Face cette situation, les Epoux ont intent un procs Citizens Financial Bank en allguant que celle-ci a manqu de procder toutes les mesures de scurit ncessaires pour protger leur compte. Les revendications taient, en effet, fondes sur la violation des dispositions des Truth in Lending Act, Fair Credit Reporting Act (FCRA) et Electronic Funds Transfer Act, ainsi que sur le non respect du droit coutumier. Lun des points intressants du dispositif du jugement a trait lauthentification au moment de laccs aux comptes bancaires via Internet. Citizens Financial Bank exigeait lutilisation de mots de passe crs par ses seuls clients. Un expert de la scurit informatique auprs de la banque a considr que les mesures de scurit mises en place taient raisonnables et ne constituaient pas la cause du transfert non autoris . Toutefois, les Epoux ont soutenu que les pratiques de scurit de Citizens Financial Bank ne satisfaisaient pas aux normes gnralement admises. Leurs revendications sappuyaient largement sur un rapport mis en 2005 par le Conseil Fdral dExamen des Institutions Financires (FFIEC). Ce document a dnonc lutilisation dauthentification facteur unique pour protger laccs aux comptes bancaires en ligne comme tant un moyen de scurit insuffisant . En effet, en tant qulment unique pour assurer la scurit des accs aux comptes, cette mthode nest pas adapte aux transactions haut risque, lies laccs aux donnes prives du client et aux mouvements des fonds vers les personnes tierces. Le Conseil estime que les techniques dauthentification utilises par les tablissements financiers doivent tre proportionnes aux risques lis leurs produits et services. Dans le rapport, on retrouve une liste non exhaustive de diffrentes solutions technologiques et mthodologiques qui peuvent tre mises en place par ces institutions financires afin de procder lauthentification de leurs clients. Cette liste comprend notamment lutilisation de mots de passe, de numros personnels didentification (PINs), de certificats lectroniques, de supports physiques tels que les
279
Commentaire par Eric Caprioli, Premire dcision amricaine concernant l'authentification par voie lectronique d'un client bancaire, Communication Commerce Electronique (LexisNexis) n 4, Avril 2010, comm. 41.
_________________________________________________________________________________________________________________
76/ 133
smart cards ou les cls USB, de mots de passe uniques (OTPs) ou dautres types de tokens , de lidentification biomtrique etc. Ainsi, ces mthodes dauthentification forte sont plus fiables et permettent de prvenir des cas de fraude plus efficacement. Par exemple, la protection assure par lutilisation dun mot de passe et dun identifiant est une authentification un facteur (lutilisateur fournit uniquement une information quil possde) tandis quune mthode dauthentification forte exige une combinaison dun lment que lutilisateur possde (ex. smart card) avec une information quil dtient (ex. code PIN). Le FFIEC recommande donc aux tablissements financiers dadopter des mesures didentification forte pour mieux protger les transactions risque, les usurpations didentit, les fraudes commises sur les comptes etc. De surcroit, en fvrier 2007, le prestataire technique en charge de la gestion de la scurit de son site avait adress Citizens Financial Bank un rapport de scurit qui mettait en avant un nombre considrable de vulnrabilits et abus de scurit qui ont eu lieu durant le mois prcdent, y compris lapparition dun programme visant usurper les mots de passe . La notion dauthentification concerne non seulement les tablissements bancaires mais aussi toute autre socit ralisant des actes de commerce par voie lectronique. Ainsi, en application de la loi de New York, il a t rcemment dcid dans laffaire The Prudential Insurance Company of America v. Dukoff and Estate of Shari Dukoff, en date du 18 dcembre 2009280, quune partie au contrat qui souhaite faire respecter une signature lectronique sur un contrat d'assurance est tenue d'apporter une preuve qui permette de vrifier l'identit de la personne ayant appos ladite signature. A loccasion de cette affaire, le juge procde aussi dfinir la notion dune signature lectronique qui permet lauthentification lors de la signature des contrats en ligne. En effet, au sens de larticle III relatif la signature et aux enregistrements lectroniques (ESRA) de la loi de l'tat de New York (NYS Technology Law, datant du 28 septembre 1999)281, une signature lectronique doit tre entendue comme un son, un symbole ou un procd lectronique, attach ou logiquement associ avec un enregistrement lectronique et ralis par une personne qui a l'intention de signer ledit enregistrement ( 302 de la loi en question). Une fois ces conditions satisfaites, une signature lectronique peut tre utilise par une personne au lieu d'une signature manuscrite et ce procd doit avoir exactement le mme effet juridique. Cependant, en jugeant le rgime lgal insuffisamment restrictif, le juge de la prsente dcision impose une exigence supplmentaire en estimant quune signature lectronique ne peut pas tre considre valable en absence dun identifiant unique et personnel permettant une authentification et une association de cette signature lensemble des donnes transmises. En lespce, la partie plaignante invoquait quune simple case cocher dans un formulaire sur lInternet peut constituer une signature lectronique valable mais condition que l'assureur soit en mesure de vrifier que la personne signant lectroniquement le document en question est bien celle qui sera considre comme partie au contrat. D'ailleurs, la prsente dcision n'est pas reste sans suite, puisque la jurisprudence postrieure est dj intervenue pour confirmer la solution retenue. En effet, dans la dcision Adams vs. Quiksilver, Inc., 2010 Cal App. Unpub. LEXIS 1236 du 22 fvrier 2010282 les juges ont estim que lorsque plusieurs parties avaient accs un contrat conclu en ligne, il appartient celle qui cherche faire respecter cette convention de prouver quelle partie a effectivement sign le contrat. 5.2 Une dfinition europenne de lauthentification 283 Pendant longtemps, en labsence dune dfinition juridique prcise de lauthentification en tant que telle, il a fallu se rfrer aux dispositions relatives la signature lectronique en tant que mthode dauthentification. Larticle 2 de la Directive 1999/93/CE284 du 13 dcembre 1999 du Parlement europen
280
United States District Court, Easterb District of New York, The Prudential Insurance Company of America vs Dukoff and Estate of Shari Dukoff, Case -07-CV-1080 18/12/2009, Communication Commerce Electronique (LexisNexis), Novembre 2010, comm. 116, Eric A. Caprioli. 281 http://www.oft.state.ny.us/Policy/OFTEnablingLeg.htm#articleIII. 282 http://www.scribd.com/doc/29617636/Adams-v-Superior-Quiksilver-02-22-10. 283 Il existe des dfinitions techniques de lauthentification, elles ne sont pas prises en compte dans le cadre de la prsente analyse qui se situe sur un plan juridique. 284 J.O.C.E., L 13 du 19 janvier 2000, p. 12 et s. V. notamment : Pierre Catala, Le formalisme et les nouvelles technologies, Defrnois 2000, p.897 s. ; Eric A. Caprioli, La loi franaise sur la preuve et la signature lectroniques dans la perspective europenne, J.C.P. d. G, 2000, I, 224 et
_________________________________________________________________________________________________________________
77/ 133
et du Conseil, sur un cadre communautaire pour les signatures lectroniques la dfinit comme une donne sous forme lectronique, qui est jointe ou lie logiquement dautres donnes lectroniques et qui sert de mthode dauthentification . En outre, un certificat qualifi qui constitue un dispositif scuris de vrification dune signature lectronique est dfini par larticle 2-9 de la Directive comme une attestation lectronique qui lie des donnes affrentes la vrification de signature une personne et confirme lidentit de cette personne . Dautres textes europens, comme les diffrentes Directives europennes relatives la facture lectronique 285 et aux marchs publics se fondent galement sur des procds de signature lectronique . La premire dfinition part entire de lauthentification apparat avec le Rglement communautaire n 460/2004 du 10 mars 2004286 instituant lAgence europenne charge de la scurit des rseaux et de linformation (ENISA). Selon son article 4-e, lauthentification doit tre interprte comme la confirmation de lidentit prtendue dentits ou dutilisateurs . 5.3 Les renvois lgislatifs et rglementaires la notion didentit numrique Les outils de diffusion sur le Web 2.0 ne manquent pas pour sexprimer : les blogs, les chats, les forums de discussion, les plateformes de partage multimdia, les rseaux sociaux, les wikis, etc. Lexplosion rapide de tous ces espaces de communication et dexpression pose alors avec acuit la question de lidentit numrique, notion confuse et complexe que les travaux les plus rcents en sciences humaines et sociales tentent de circonscrire. Le basculement dans l're du tout numrique consacr par plusieurs lois287 s'appuie notamment sur des normes techniques permettant d'identifier avec un degr de confiance suffisant les interlocuteurs utilisant un ensemble de systmes dinformation ou des systmes de traitement automatis de donnes (STAD). Les diffrentes formes de signature numrique , les protocoles d'identification et de chiffrement des flux de donnes constituent autant de garanties techniques sur lesquelles reposent la rgularit et la scurit des transactions. Toutefois, l'usage courant du pseudonyme (qui est un moyen didentification dun individu sous couvert danonymat) constitue un obstacle dans la recherche de certitude dune vritable identit numrique. Ainsi, l'identit sous forme numrique chappe pour lheure toute attribution par une autorit publique, c'est-dire que les lments qui la composent ne relvent pas de l'identit juridique de la personne. Pourtant, dans la mesure o elle se trouve au cur dune rflexion nationale voire europenne dans le cadre du renforcement de la confiance numrique, touchant des tels problmes que le-rputation, la protection des donnes personnelles ou encore le respect de la vie prive sur lInternet, diffrents textes lgislatifs et rglementaires sy rfrent. Actuellement, au moins quatre textes peuvent s'appliquer la protection du nom dune personne proprement dit, mais dans des cas trs spcifiques.
Le premier, l'article 433-19 du code pnal, concerne lutilisation dune fausse identit (au sens de ltat civil) : Est puni de six mois d'emprisonnement et de 7500 euros d'amende le fait, dans un acte public ou authentique ou dans un document administratif destin l'autorit publique et hors les cas o la rglementation en vigueur autorise souscrire ces actes ou documents sous un tat civil d'emprunt :
La directive europenne n1999/93/CE du 13 dcembre 1999 sur un cadre communautaire pour les signatures lectroniques, Gaz. Pal. 29-31 octobre 2000, p. 5 et s. Eric A. Caprioli, Scurit et confiance dans les communications lectroniques en droits franais et europen, in Libre droit, Mlanges Ph. Le Tourneau, Dalloz, 2008, p. 155 et s., disponible ladresse http://www.caprioli-avocats.com/pdf/securite-informatique-electronique.pdf. 285 Voir par exemple : Directive 2004/17/CE du Parlement europen et du Conseil du 31 mars 2004 portant coordination des procdures de passation des marchs dans les secteurs de leau, de lnergie, des transports et des services postaux (J.O.U.E. n L 134 du 30/04/2004, p. 1 et s.)et directive 2004/18/CE du Parlement europen et du Conseil du 31 mars 2004 relative la coordination des procdures de passation des marchs publics de travaux, de fournitures et de services (J.O.U.E. n L 134 du 30/04/2004, p. 114 et s.) ; Directive n2010/45/UE du Conseil du 13 juillet 2010 modifiant la directive 2006/112/CE relative au systme commun de taxe sur la valeur ajoute en ce qui concerne les rgles de facturation (J.O.U.E L. 189 du 22 juillet 2010, p. 1 et s). 286 J.O.C.E L 077, 13 mars 2004, p.1 et s. 287 Notamment la loi sur la confiance en l'conomie numrique du 21 juin 2004, JO n143 du 22 juin 2004, p. 11168 et s.
_________________________________________________________________________________________________________________
78/ 133
o 1 De prendre un nom ou un accessoire du nom autre que celui assign par l'tat civil ; o 2 De changer, altrer ou modifier le nom ou l'accessoire du nom assign par l'tat civil. L'article 434-23 du code pnal concerne la prise du nom d'un tiers dans des circonstances qui pourraient engendrer son encontre des poursuites pnales, un tel agissement tant puni de 5 ans demprisonnement et de 75.000 euros damende. De plus, selon lalina 3 de cet article : Est punie des peines prvues par le premier alina la fausse dclaration relative l'tat civil d'une personne, qui a dtermin ou aurait pu dterminer des poursuites pnales contre un tiers. En outre, larticle 781 du code procdure pnale dispose : o o o Quiconque en prenant un faux nom ou une fausse qualit, s'est fait dlivrer un extrait du casier judiciaire d'un tiers est puni de 7.500 euros d'amende. Est puni des mmes peines celui qui aura fourni des renseignements d'identit imaginaires qui ont provoqu ou auraient pu provoquer des mentions errones au casier judiciaire. Est puni des mmes peines celui qui se sera fait dlivrer par l'intress tout ou partie des mentions du relev intgral vis l'article 777-2 du prsent code. .
Enfin, selon larticle 441-6 du code pnal, modifi par lOrdonnance n2000-916 du 19 septembre 2000 art. 3 (V) JORF 22 septembre 2000 en vigueur le 1er janvier 2002, Le fait de se faire dlivrer indment par une administration publique ou par un organisme charg d'une mission de service public, par quelque moyen frauduleux que ce soit, un document destin constater un droit, une identit ou une qualit ou accorder une autorisation est puni de deux ans d'emprisonnement et de 30.000 euros d'amende. o Est puni des mmes peines le fait de fournir une dclaration mensongre en vue d'obtenir d'une administration publique ou d'un organisme charg d'une mission de service public une allocation, un paiement ou un avantage ind.
Ce dernier texte, rgulirement appliqu, bnficie d'un rgime de cumul des peines, drogatoire du droit commun. En faisant rfrence d'ventuelles sanctions pnales, il pose une condition particulirement restrictive. On comprend que les capacits de dtournement et la facilit de passage l'acte offerte par les rseaux de communications lectroniques aient appel une initiative lgislative pour sanctionner l'utilisation de l'identit d'un tiers ou de ses donnes personnelles. Cependant, il convient de noter quici, ce nest pas lusurpation de lun ou plusieurs des identifiants numriques de la personne (ex : adresse de messagerie, noms de domaine, pseudonyme virtuel, ), qui est rprime, mais seulement lusage des donnes didentification figurant ltat civil dont le nom de famille, prnoms, domicile, ce qui ne permet pas dapprhender des comportements tels que le phishing ou le spoofing. Ce vide juridique en matire dusurpation didentit a inspir le snateur Michel Dreyfus-Schmidt qui a dpos, en 2005, une proposition de loi288 visant punir toute personne dtournant lidentit dautrui sur lInternet, le but tant de lutter contre ce nouveau phnomne mais galement de limiter la pratique du phishing. A lpoque, le gouvernement ayant considr que le droit pnal tait complet, la proposition na pas t retenue. Plusieurs parlementaires estimaient, en effet, que le dlit descroquerie, en raison de sa formulation neutre (voir larticle 313-1 du code pnal), permettait de rpondre efficacement lusurpation didentit sur lInternet289. A lheure actuelle, il y a plusieurs projets de rforme en discussion, certaines au Snat, dautres lAssemble nationale et qui traitent toutes de lusurpation de lidentit, lobjectif tant dtablir un fondement lgal clair et prcis quant son application par les tribunaux. Parmi ces textes, on distingue
288
http://www.senat.fr/leg/ppl04-452.html. 289 V. Eric Caprioli, Le phishing saisi par le droit, Communication Commerce Electronique (LexisNexis), n 2, Fvrier 2006, comm. 37. Sur lusurpation didentit, v. galement, Fabien Matthios, Le phishing bientt saisi par la loi ?, Communication Commerce Electronique (LexisNexis). n9, sept. 2009.
_________________________________________________________________________________________________________________
79/ 133
notamment la proposition de loi relative la pnalisation de l'usurpation d'identit numrique, prsente 290 devant le Snat le 6 novembre 2008 par Madame le Snateur Jacqueline Panis et ayant pour but dinsrer dans le code pnal un nouveau type dinfraction relatif au vol didentit sur lInternet, permettant de cumuler les peines relatives celle-ci avec celles qui auront t prononces pour l'infraction l'occasion de laquelle l'usurpation a t commise. Lide dun nouvel article incriminant spcifiquement lusurpation didentit sur Internet a continu ensuite son chemin pour donner lieu au dpt dun projet de loi le 27 mai 2009291. La Loi n2011-267 du 14 mars 2011 dorientation et de programmation pour la performance de la scurit intrieure (J.O du 15 mars 2011, p. 4582) a rintroduit le concept dusurpation didentit numrique qui figure dsormais larticle 226-4-1 du Code pnal. Cet article nonce :Le fait d'usurper l'identit d'un tiers ou de faire usage d'une ou plusieurs donnes de toute nature permettant de l'identifier en vue de troubler sa tranquillit ou celle d'autrui, ou de porter atteinte son honneur ou sa considration, est puni d'un an d'emprisonnement et de 15 000 d'amende. Cette infraction est punie des mmes peines lorsqu'elle est commise sur un rseau de communication au public en ligne ; En outre, dans certains secteurs, lidentification fiable du client constitue un prrequis essentiel pour toute relation commerciale. Ainsi, sans prtendre lexhaustivit, on notera : Pour le secteur bancaire. Larticle L. 561-5 du Code montaire et financier prvoit : I.-Avant d'entrer en relation d'affaires avec leur client ou de l'assister dans la prparation ou la ralisation d'une transaction, les personnes mentionnes l'article L. 561-2 identifient leur client et, le cas chant, le bnficiaire effectif de la relation d'affaires par des moyens adapts et vrifient ces lments d'identification sur prsentation de tout document crit probant. Elles identifient dans les mmes conditions leurs clients occasionnels et, le cas chant, le bnficiaire effectif de la relation d'affaires, lorsqu'elles souponnent que l'opration pourrait participer au blanchiment des capitaux ou au financement du terrorisme ou, dans des conditions fixes par dcret en Conseil d'tat, lorsque les oprations sont d'une certaine nature ou dpassent un certain montant. II.-Par drogation au I, lorsque le risque de blanchiment des capitaux ou de financement du terrorisme parat faible et dans des conditions fixes par dcret en Conseil d'tat, il peut tre procd uniquement pendant l'tablissement de la relation d'affaires la vrification de l'identit du client et, le cas chant, du bnficiaire effectif. III.-Les personnes mentionnes au 9 de l'article L. 561-2 satisfont ces obligations en appliquant les mesures prvues l'article L. 561-13. .. Les articles R. 563-1 et s. du mme Code prvoient les modalits propres assurer cette identification. Cette disposition lgislative se rsume en un sigle KYC (Know Your Customer) qui constitue dsormais un vritable ssame pour tout dploiement dun service financier distance. Pour le secteur des jeux en ligne, le lgislateur a fix de nombreuses mesures de scurit informatique en prvoyant notamment, la charge de loprateur candidat, de prciser les modalits daccs et dinscription son site de tout joueur et les moyens lui permettant de sassurer de lidentit de chaque nouveau joueur, de son ge, de son adresse et de lidentification du compte de paiement sur lequel sont verss ses avoirs [] (art. 17). Les mesures de vrification didentit constituent donc une exigence essentielle pour tout candidat. Lune des mthodes permettant dassurer cette vrification est relative lapprovisionnement du compte joueur. En effet, conformment larticle 17, cet approvisionnement ne peut tre ralis quau moyen dinstruments de paiement mis disposition par un prestataire de services de paiement tabli dans un tat membre de la Communaut europenne ou un tat partie laccord sur lEspace conomique europen[] .
290 291
http://www.senat.fr/leg/ppl08-086.html. http://www.assemblee-nationale.fr/13/projets/pl1697.asp.
_________________________________________________________________________________________________________________
80/ 133
Ds lors, la vrification didentit relve en partie du prestataire de services de paiement (tablissement de paiement et tablissement de crdit au sens de lart. L. 521-1 du C.M.F suite la transposition de la Directive 2007/64 du 13 novembre 2007 (J.O U.E. du 5 dcembre 2007, p.1 et s). Cela ne signifie pas pour autant que loprateur pourra se dfausser de cette vrification didentit. Lart. 38 de la loi prvoit, en outre, que les oprateurs doivent mettre disposition permanente de lARJEL (autorit de rgulation des jeux en ligne) entre autres - les donnes portant sur lidentit de chaque joueur, son adresse et son adresse de courrier lectronique ainsi que le compte du joueur. Les oprateurs doivent donc disposer dune base de donnes caractre personnel dtaille et respecter les exigences de la loi Informatique, Fichiers et Liberts (article 19). L encore, rappelons que larticle 34 de cette dernire loi prvoit la mise en place de mesures de scurit linitiative du responsable de traitement. Lobjectif principal consiste prserver la scurit des donnes et, ce titre, le responsable du traitement occupe un rle prpondrant, de mme que loprateur joue un rle considrable dans le processus de protection et de vrification des donnes utilises pour le site de jeux. Enfin, un autre texte lgislatif faisant rfrence la notion de lidentit numrique est la proposition de loi relative la protection de lidentit, dpose au Snat par Jean-Ren Lecerf le 27 juillet 2010292 et qui vise moderniser la carte nationale didentit, en lquipant de puce lectronique scurise contenant des donnes biomtriques ainsi que, facultativement, dun systme dauthentification distance de la signature lectronique. Cependant, il faut noter que l aussi, ce nest pas lusurpation de lidentit-mme qui se voit sanctionne, mais plutt un accs frauduleux dans une base, lentrave ou laltration du fonctionnement de la base ou lintroduction, la modification ou la suppression frauduleuse de donnes. Par consquent, du point de vue juridique, nous nous trouvons dans une situation largement ambigu, qui relve la fois dun vide juridique, dune jurisprudence quasi inexistante et dune multitude de dispositions applicables en vertu de textes qui ne saisissent quun ou plusieurs lments du concept sans pour autant lembrasser en totalit. La notion reste donc toujours trs difficile cerner, alors que la myriade dlments qui constituent lidentit sous forme numrique est diversement saisie par le Droit. Ces lments relvent par consquent de statuts juridiques divers, plus ou moins protecteurs (ex. conditions contractuelles dutilisation des sites Web pour les traces numriques ou la Loi Informatique, fichiers et Liberts du 6 janvier 1978, modifie, pour les donnes personnelles, avec des dcisions de la jurisprudence). Aucun domaine de la socit (institutions publiques, entreprises) ntant labri des proccupations portes par lidentit sous forme numrique notamment en matire daccs des informations sensibles, de recrutement et dimage vhicule, les premiers problmes dordre juridique viennent souligner le 293 caractre sensible de ces questions et mettent en vidence leur complexit . 5.4 Les initiatives gouvernementales (label IDNum, RGS) Le gouvernement franais a depuis longtemps prsent une volont damorcer la transition vers la socit de linformation en permettant au citoyen de disposer de tlservices et dun accs direct par voie lectronique aux autorits administratives (administrations, collectivits territoriales, ). Lamlioration de la scurit des infrastructures, des changes et des donnes est un facteur cl de succs de cette transition. Ainsi, le RGS (Rfrentiel Gnral de Scurit), rdig par lAgence Nationale de la Scurit des Systme dInformation (ANSSI) et par la Direction Gnrale de la Modernisation de ltat (DGME), a t pris en application de larticle 9 de lordonnance du 8 dcembre 2005294. Il dfinit un ensemble de rgles de
292
http://www.senat.fr/leg/ppl09-682.html. Franois Coupez, Lusage des rseaux sociaux dans lentreprise et le Droit, www.caprioli-avocats.com. A titre dexemple, peut tre cit le projet de loi allemande du 25 aot 2010 concernant la protection des donnes caractre personnel des salaris et qui vise, notamment, interdire aux employeurs de consulter le profil Facebook et les messages publis par les candidats lembauche. En France, mme si lobligation de sinformer simpose celui qui recrute (CA Nancy 27 mars 2002 SARL Comabois c/Dacquembronne, n00/01923 ; CA Montpellier 5 fvrier 2002), il ne peut pas utiliser les informations mises en ligne par les candidats (en vertu de lart. L. 1132-1 du code de travail). 294 Ordonnance n2005-1516 du 8 dcembre 2005 relative aux changes lectroniques entre les usagers et les autorits administratives et entre les autorits administratives, JO n286 du 9 dcembre 2005, p. 18896 et s. E. A. Caprioli, Des changes lectroniques entre les usagers et les autorits administratives dune part, et entre ces dernires dautre part, JCP d. A et CT, 2006, n1079, p. 432 et s.
293 V.
_________________________________________________________________________________________________________________
81/ 133
scurit simposant aux autorits administratives dans le but de scuriser leur systme dinformation dans le cadre dchange des informations par voie lectronique. Le RGS sapplique des fonctions comme la signature lectronique, l'authentification, la confidentialit ou encore l'horodatage295. Son dcret dapplication a t publi au Journal Officiel du 4 fvrier 2010296, suivi dun arrt ministriel en date du 6 mai 2010297 qui approuve la version 1.0. Dsormais, les rgles formules dans le RGS simposent l'ensemble des autorits administratives telles que dfinies larticle 1-I de lordonnance n2005-1516 du 8 dcembre 2005, mais aussi leurs prestataires et aux fournisseurs de solutions de scurit (horodatage, signature, confidentialit, etc). Les rgles nonces dans le RGS devront tre appliques :
Dans un dlai de trois ans compter de la publication de larrt pour les tlservices et systmes en service ; Dans un dlai d'un an pour ceux en cours de ralisation ; Et d'emble pour les tlservices et systmes dploys aprs octobre 2010.
Ces rgles sont modules en fonction du niveau de scurit retenu par l'autorit administrative dans le cadre de la scurisation des services en ligne dont elle est responsable. Rappelons que lobjectif principal du RGS est de dvelopper la confiance des usagers et des administrations dans leurs changes lectroniques. Il apporte galement des clairages ncessaires sur la marche suivre pour prendre en compte pleinement les dispositions rglementaires, en particulier celles concernant l'analyse de risques et l'homologation de scurit d'un systme d'information. En effet, en encourageant les administrations adopter une approche globale pour la protection de leurs systmes dinformation, le RGS propose davoir recours une analyse systmatique des risques, ce qui permet une amlioration continue de la scurit des systmes dinformation. Le RGS se prsente ainsi comme un cadre adaptable aux enjeux et aux besoins spcifiques de chaque autorit administrative, en prcisant les exigences techniques et les moyens de protection pertinents en termes de produits de scurit et doffre de services de confiance. Concernant le RGS, le rfrencement pilot par la DGME vise faciliter les changes lectroniques scuriss entre usagers et autorits administratives mais aussi entre autorits administratives par la mise disposition d'un catalogue de solutions fiables et interoprables. Ralis sur la base d'un cahier des charges qui dfinit les rgles d'interoprabilit, ce rfrencement atteste du bon fonctionnement d'un produit ou d'une offre de services de scurit avec les systmes d'information des autorits administratives. Les services de lEtat ont ainsi lobligation d'utiliser ces solutions et produits dans le cadre de leur migration vers le rfrentiel RGS de faon garantir les changes avec les particuliers et entreprises. Il y aura donc sur le march des produits rfrencs RGS et des produits IDNum eux mme rfrencs RGS." Par ailleurs, le RGS constitue le fondement de la mise en place du label IDNUM, linitiative du Secrtariat dtat lEconomie Numrique, lanc le 1er fvrier 2010. Il consiste fdrer les outils d'authentification mis par diffrents acteurs privs, en garantissant un niveau homogne de scurit et dinteroprabilit. Un outil labellis pourrait ainsi donner accs tous les services en ligne, publics ou privs, de ce niveau de scurit, ce qui devrait crer une unification des moyens dauthentification trs diversifis sur le march. Les metteurs pourront ds lors proposer leurs clients un nouveau service, plus utile dans la vie courante. Ce label sera spcifi, test et valid par les acteurs de lconomie numrique eux-mmes et viendra complter la liste des solutions de signature lectronique dj certifies et rgules par le ministre de lconomie et des finances en prvoyant les produits IDNUM. Ce produit se prsente sous la forme dun
Dcret n2010-112 du 2 fvrier 2010 pris pour lapplication des articles 9, 10 et 12 de lordonnance n 2005-1516 du 8 dcembre 2005 relative aux changes lectroniques entre les usagers et les autorits administratives et entre les autorits administratives, JO 4 fvrier 2010, p. 2072. 14 JORF n113 du 18 mai 2010, texte n1. 295 Il est galement prvu llaboration dune annexe relative larchivage
13
_________________________________________________________________________________________________________________
82/ 133
dispositif physique scuris dans lequel se trouvent des lments propres son propritaire, que ce dernier peut dverrouiller, par un code PIN. Ces lments propres sont deux bi-cls cryptographiques lune ddie lauthentification, lautre la signature lectronique pour lesquelles chaque cl publique a t certifie. En tant que tel, il pourrait tre constitu comme une solution provisoire dans lattente de la Carte Nationale dIdentit Numrique. Le produit IDNUM devrait pouvoir tre obtenu auprs des prestataires de services de certification lectronique (PSCE) dont loffre IDNUM sera atteste comme tant conforme aux exigences techniques, figurant dans le cahier des charges. Du fait de sa rfrence expresse au RGS, les produits et les tlservices rfrencs par lordonnance du 8 dcembre 2005 seront automatiquement accepts par toutes les autorits administratives qui disposent des services lectroniques. Les services privs seront galement autoriss accepter les produits selon quils sont rfrencs ou non. Le label IDNUM saffichera sur les sites qui le reconnaissent et les internautes pourront choisir librement leur fournisseur. Ainsi, le label permettra de fournir aux internautes un moyen fiable didentification pour simplifier leurs dmarches en ligne (accs ses comptes administratifs, abonnement des services payants, souscription de services ou de contrats), en unifiant le march et en facilitant les formalits quotidiennes des administrs et des citoyens. Qui plus est, le label permettra au public de bnficier de produits didentification et de signature lectronique de qualit garantie et didentifier facilement les services en ligne qui acceptent ces produits298. 5.5 Signature versus authentification Le fait de vouloir opposer signature et authentification ne semble pas fond juridiquement, tant donn que la seconde est contenue dans la premire. Au surplus, il nexiste pas de disposition lgale spcifique applicable lauthentification en dehors des stipulations contractuelles qui pourraient dcoules des conventions noues entre les parties. En effet, larticle 1316-4 du Code civil dispose : La signature ncessaire la perfection d'un acte juridique identifie celui qui l'appose. []Lorsqu'elle est lectronique, elle consiste en l'usage d'un procd fiable d'identification garantissant son lien avec l'acte auquel elle s'attache. . La signature lectronique peut donc tre considre comme un moyen dauthentification, en ce sens quelle permet de vrifier lidentit du signataire, mais sans toutefois se limiter ce seul aspect dans la mesure o la signature permet galement de manifester la volont du signataire, de consentir un acte (lalina 1er de larticle 1316-4 : Elle manifeste le consentement des parties aux obligations qui dcoulent de cet acte. ). 5.6 Evolution attendue du contexte rglementaire (France, Europe) : la carte nationale didentit lectronique (CNIE) Le gouvernement franais, par le biais de son Ministre de lintrieur, vient de prvoir le lancement du projet instaurant la carte nationale didentit lectronique en 2011. En effet, les enjeux sociaux, politiques, culturels et juridiques du passage de la carte nationale didentit une carte lectronique sont trs importants299. La premire initiative est apparue en 2005 avec le programme INES (Identit Nationale Electronique Scurise) lanc par le Ministre de lIntrieur. Ctait un projet global qui consistait fusionner, simplifier et scuriser les procdures de demande de passeport et de carte nationale didentit, amliorer la gestion de ces titres dans des nouvelles applications, dlivrer des titres hautement scuriss conformes aux exigences europennes et internationales et, enfin, offrir aux citoyens les moyens de prouver leur identit sur lInternet et de signer lectroniquement, afin de favoriser le dveloppement de ladministration lectronique. Longtemps suspendue ladoption dun projet de loi relatif lidentit, la Carte Nationale dIdentit Electronique devait voir le jour en 2006. Elle devait comprendre les principales donnes relatives son
298
V. Fdration Nationale des Tiers de Confiance (FNTC), Vademecum juridique de la dmatrialisation des documents, rdig par le Cabinet davocats, Caprioli & Associs, 3me d., avril 2010, p. 42, disponible sur le site de la Fdration Nationale des Tiers de Confiance, www.fntc.org. 299 V. tude dimpact AFNOR, La signature lectronique et les infrastructures cl publique dans le contexte de lidentit numrique : quels usages pour les titres scuriss mis par lEtat dans le monde de lconomie scurise, dcembre 2007, disponible sur le site www.caprioli-avocats.com.
_________________________________________________________________________________________________________________
83/ 133
titulaire, en partie crites sur le support physique et en partie enregistres sur une puce lectronique. Les informations mentionnes sur la carte devraient tre relatives ltat civil (nom, prnom, sexe, date et lieu de naissance), la nationalit, ladresse, la signature manuscrite, lorganisme de dlivrance de la carte ainsi que le numro de la carte. Sur la puce, les donnes seraient divises en blocs distincts et tanches, par des moyens de cryptographie. Ainsi, on y retrouverait un bloc confidentiel identit (accessible aux seules autorits habilites), contenant une photo numrise et deux empreintes digitales (ou plus) numrises ; un bloc authentification de la carte servant prouver de manire automatique lauthenticit de la carte ; un bloc identification authentifie du porteur permettant, par le biais dun code secret, daccder aux services en ligne privs et publics ; un bloc signature lectronique permettant se signer lectroniquement des documents prsents sous forme de messages, fichiers, sous divers formats ; et, enfin, un bloc portfolio personnel proposant, titre facultatif, de stocker des informations complmentaires (ex. numro de permis de conduire, numro fiscal).300 En tant que telle, la Carte Nationale dIdentit Numrique aurait pour objectif de mieux garantir lidentit contre les risques dusurpation et de dtournement, de lutter contre le terrorisme, dautoriser lauthentification du porteur en vue de lutilisation de tlservices dans les relations avec les administrations et la signature lectronique pour les services commerciaux sur lInternet ainsi que de simplifier les demandes de documents didentit lectronique et leur renouvellement. Objet de vives discussions voire de polmiques chez certains, le projet ayant pour objectif dinstaurer la Carte Nationale dIdentit Numrique est relanc par le Gouvernement pour 2011. Et cest sans doute une donne trs positive pour la scurit juridique dans les changes lectroniques. Par ailleurs, tant donn que la diffusion du passeport lectronique sur tout le territoire est en bonne voie, la Carte Nationale dIdentit Numrique sera dcisive en termes de confiance pour le dveloppement de la dmatrialisation et du commerce lectronique scuris301. Les citoyens bnficieront dune vritable identit civile, numrique ayant la mme reconnaissance que les titres papier. Par exemple, les acteurs du march pourront sappuyer sur lidentit numrique des titulaires de la CNIE pour lenregistrement des titulaires des certificats didentification lectronique, ncessaires aux dploiements de procds de signature lectronique pour signer des contrats avec une scurit adapt. On peut galement penser la scurisation des moyens dauthentification des personnes pour accder des comptes (bancaires, jeux, ), des services ou des informations de nature trs diverses (espaces de stockage, coffre-fort lectronique, ). La scurit du commerce lectronique passera par la possibilit de vrifier lidentit numrique des personnes et lidentification des objets incorporels ou des entits (ex : utilisation de certificats de serveurs pour un logiciel ou un site web). Selon lAgence Nationale des Titres Scuris, cette carte permettra de raliser des conomies sur le cycle de production global des titres scuriss (comprenant galement les passeports biomtriques). Sil y a des conomies dchelle pour lANTS, celles-ci sont moins videntes pour les communes qui risquent notamment de faire face un afflux de demandes. Les snateurs ont du reste reconnu que la mise en uvre de la carte didentit lectronique devrait conduire rviser le mode dindemnisation des communes pour lenrlement des donnes des titres scuriss, lide dune indemnisation en fonction du nombre de titres a mme t voque. 5.7 Scurit vs protection des liberts individuelles (Directives europennes et droit franais) En droit, il existe plusieurs types de libert : les liberts fondamentales, les liberts publiques, les liberts individuelles ou collectives. Inviolables de manire gnrale, ces liberts peuvent se trouver limites de manire plus ou moins importante en fonction de la notion de scurit (qui peut tre publique, intrieure, extrieure, ou porter sur les personnes et les biens). En effet, il convient de noter que cette dernire est souvent la cause invoque dans lutilisation de lordre public, proclam comme droit fondamental conditionnant lexercice des liberts individuelles et collectives .
v. http://www.foruminternet.org/telechargement/forum/pres-prog-ines-20050301.pdf v. FNTC, Vademecum juridique de la dmatrialisation des documents, 3me d., avril 2010, p. 41. Disponible sur les sites : www.fntc.org et www.caprioli-avocats.com.
300 301
_________________________________________________________________________________________________________________
84/ 133
Le texte de rfrence en matire de liberts individuelles reste la Convention de sauvegarde des Droits de l'Homme et des Liberts fondamentales du 4 novembre 1950 qui, elle-mme, justifie un nombre limit de restrictions certaines liberts, notamment dans son article 8 2 : Il ne peut y avoir ingrence dune autorit publique dans lexercice de ce droit que pour autant que cette ingrence est prvue par la loi et quelle constitue une mesure qui, dans une socit dmocratique, est ncessaire la scurit nationale, la sret publique, au bien-tre conomique, la dfense de lordre et la prvention des infractions pnales . Les litiges sont ports devant la Cour europenne des droits de lhomme de Strasbourg (CEDH). Au regard des dangers existants sur lInternet (cybercriminalit, usurpation didentit, fraude, failles de scurit dans les systmes dinformation, contrefaon en ligne) et des risques de terrorisme, ltat considre devoir amnager des rgimes dexception certaines liberts en vue dassurer la tranquillit et la scurit illustrant la ncessit de prendre en compte lordre public. Cependant, bien au-del des problmes de scurit en ligne, cette nouvelle forme de contrle amne une rduction des zones de libert du cyberespace. Une Convention internationale sapplique aux pays membres du Conseil de lEurope (ex : la France, la Principaut de Monaco) : la Convention nI08 du 28 janvier 1981 du Conseil de l'Europe pour la protection des personne l'gard du traitement automatis de donnes caractre personnel, ainsi que le Protocole additionnel n 181 du B novembre 2001 la Convention pour la protection des personnes l'gard du traitement automatis des donnes caractre personnel concernant les autorits de contrle et les flux transfrontires de donnes.302 En ce qui concerne les tats membres de LUnion europenne, la Directive europenne n46/95 du 24 octobre 1995 est le support juridique majeur sur le plan de la protection des donnes personnelles. Elle fixe le cadre juridique applicable aux donnes caractre personnel non seulement pour les traitements dans les pays de lUnion europenne mais aussi avec les pays tiers destinataires de transferts de donnes personnelles. Ce texte devrait faire lobjet dune rvision au cours de lanne 2011 pour sadapter aux nouveaux enjeux en termes de protection : moteurs de recherche, hbergement des donnes dans le Cloud computing, RFID, rseaux sociaux, , m-commerce, biomtrie, contrle de postes virtualiss, ou encore en imposant la gnralisation du Correspondant la protection des donnes (CIL) ou la notification des atteintes aux donnes personnelles. Le processus de rvision a t lanc en 2010 par la Commission europenne. La loi Informatique, Fichiers et liberts303 demeure le texte phare en matire de protection des donnes caractre personnel, face aux dfis ns du dveloppement des communications lectroniques (convergence de linformatique et des tlcommunications). Cette loi dtermine les attributions de la CNIL. Dans la mesure o un grand nombre de fichiers ou de bases de donnes contenant des donnes personnelles doivent lui tre dclares (certains mme soumis autorisation), et sous rserve de la dsignation dun Correspondant la Protection des Donnes (CIL), cette autorit indpendante est charge du respect de la conformit la loi des traitements de donnes caractre personnel dans la sphre prive comme dans la sphre publique. Cette problmatique parat particulirement pertinente au vu des diffrents dispositifs de vido-protection ou de go-localisation mis en place dernirement. Ainsi, la CNIL veille ce que face aux besoins de scurit mis en avant par diffrents organismes, un individu puisse toujours disposer dun droit individuel linformation pralable, dun droit daccs aux donnes le concernant, dun droit dopposition, dun droit de rectification ou encore dun droit loubli (effacement ou anonymisation des donnes aprs une dure dfinie par le responsable du traitement). De plus, il existe une obligation de scurit des donnes personnelles qui pse sur le responsable du traitement en vertu de larticle 34 de la Loi du 6 janvier 1978 (il doit prendre toutes les prcautions utiles) et de larticle 35 lorsquun sous-traitant intervient. Le non respect de ces obligations peut entrainer des sanctions pnales ou de la CNIL
302
Disponible ladresse : http://conventions.coe.int/Treaty/Commun/ListeTraites.asp?M=B&CL=FRE/. 303 Loi n78-17 relative l'informatique, aux fichiers et aux liberts du 6 janvier 1978, modifie par la loi du 4 aot 2004 qui a transpos la directive de 1995 en droit franais.
_________________________________________________________________________________________________________________
85/ 133
La rduction du primtre de la vie prive au profit du dveloppement des normes scuritaires est un dbat mdiatique, intressant tant les citoyens que les entreprises depuis dj plusieurs annes. La rapidit de dveloppement des techniques permettant de contrler lactivit des individus (telle que la biomtrie, les rseaux sociaux, la golocalisation304, les RFID305, ) a t telle que la ncessit de protger juridiquement leur vie prive a parfois eu du mal suivre le rythme impos par les innovations. La CNIL met ainsi en avant le risque pour les individus de voir restreindre leurs liberts sans mme sen rendre compte, avec lincessante volution des technologies de protection, de contrle, de surveillance et laugmentation des textes lgislatifs et rglementaires permettant leur utilisation. Ce risque ne concerne pas que la France, mais tous les pays susceptibles de traiter des donnes caractre personnel. Ds lors que des transferts de donnes personnelles seffectuent partir de pays qui restreignent les exportations de donnes, pour des oprations de sous-traitance ou autres, les prescriptions lgales doivent tre imprativement respectes notamment en ce qui concerne le formalisme impos pour encadrer les transferts demande dautorisation, utilisation de Binding Corporate Rules ou des contrats-types de lUnion europenne. Entre scurit et liberts, la voie de lquilibre semble souvent dlicate trouver. Ce sont les ncessits de scurit qui vont servir lgitimer les atteintes aux liberts fondamentales. Pour protger de faon pragmatique les individus contre les intrusions dans leur sphre prive, il faut dabord admettre la lgitimit de la lutte contre les crimes par la prvention, et donc la surveillance, pour ensuite trouver les moyens appropris, savoir les plus respectueux possible des liberts fondamentales, et les meilleures garanties pour les citoyens. Il est, en effet, difficile de concilier les intrts en prsence, mais cest pourtant vers cet quilibre quil faut tendre pour viter tout dbordement liberticide ou libertaire... De son ct, la loi Godfrain du 5 janvier 1988306 relative la fraude informatique traitait des peines encourues en cas de vols ou de destructions de donnes. Dans la mesure o la nature mme des informations traites par les technologies de l'information et de la communication rend les donnes personnelles encore plus sensibles, ce texte parat crucial dans ce quil pnalise les intrusions non autorises aux systmes dinformation. Cependant, en France, les textes relatifs au numrique, lis aux notions de scurit, dconomie dadministration, ou de culture, se sont multiplis au cours de la dernire dcennie. On peut analyser cet accroissement normatif par le fait sans doute de la modification de la position de ltat face aux technologies de linformation et vers le dveloppement dune administration lectronique. Ainsi, la loi pour la confiance dans l'conomie numrique307 (LCEN) qui transpose la Directive europenne 2000/31/CE du 8 juin 2000308 sur le commerce lectronique et certaines dispositions de la Directive du 12 juillet 2002309 sur la protection de la vie prive dans le secteur des communications lectroniques a fait lobjet dune polmique lchelle nationale, notamment de la part des acteurs de lInternet. Les sujets les plus vivement dbattus taient la responsabilit des hbergeurs et des FAI, la publicit par voie lectronique (opt-in ou opt-out), llargissement des facults dintervention des collectivits territoriales en matire dtablissement de rseaux de communication lectronique ou encore lintroduction dun nouveau article relatif la dtention et la mise disposition dquipements conus pour commettre les faits dintrusion dans un systme ou dentrave au fonctionnement de ce systme (art. 323-3-1 du code pnal). Les textes de lois ne sont pas rdigs de manire mettre en exergue les exigences de scurit. Les polmiques portes sur le projet de Loi dorientation et de programmation pour la performance de la scurit intrieure (LOPPSI) sont les mmes que celles relatives la loi n 2001-1062 sur la scurit
304 La CNIL a tent dencadrer le dveloppement de la golocalisation des vhicules des employs par GPS dans une recommandation du 16 mars 2006 (disponible sur le site www.cnil.fr), leur mise en uvre ne pouvant tre justifie que par un nombre limit de finalits. 305 Eric Caprioli et Pascal Agosti, Lidentification par Radio frquence et le droit, Confidentiel Scurit, n128, dcembre 2005, p. 2 et s. 306 Loi n88-19, JO du 6 janvier 1988, p. 231. 307 Loi n2004-575 du 21 juin 2004, JO du 22 juin 2004, p. 11.168 et s. 308 Directive n 2000/31/CE du 8 juin 2000 relative certains aspects juridiques des services de la socit de linformation, et notamment du commerce lectronique, dans le march intrieur (directive sur le commerce lectronique, JOCE du 17 juillet 2000 L 17 8/1. 309 Directive 2002/58/CE du 12 juillet 2002 concernant le traitement des donnes caractre personnel et la protection de la vie prive dans le secteur des communications lectroniques (directive vie prive et communications lectroniques), JOCE n L 201 du 31/07/2002 p. 0037 - 0047
_________________________________________________________________________________________________________________
86/ 133
quotidienne du 15 novembre 2001310, la loi n 2003-239 du 18 mars 2003 sur la scurit intrieure311 ou la loi dite Perben II . Au contraire, le lgislateur prfre les termes de confiance (loi pour la confiance dans lconomie numrique, loi n2005-842 du 26 juillet 2005 pour la confiance et la modernisation de l'conomie312). En effet, la confiance renvoie un sentiment, trs certainement de scurit quant lorganisation du march numrique ou lectronique sans que les deux notions (confiance et scurit) soient pour autant synonymes. Les mtiers de la confiance ont une incidence sur toutes les activits de lconomie numrique en termes de scurit de linformation en gnral, que ce soit au niveau de linfrastructure (les rseaux numriques, les sites web, les serveurs) ou au niveau des changes lectroniques entre les sujets de droit. 5.8 Responsabilit des acteurs La responsabilit civile de droit commun des acteurs en matire dauthentification repose sur les articles 1382 et 1383 du code civil et sur les engagements quils ont contracts. Ainsi, leur responsabilit peut tre mise en jeu condition quil y ait eu une faute, un prjudice subi par la victime et un lien de causalit entre cette faute et ce prjudice. A ct des ventuels dlits civils dont des tiers peuvent tre victimes, le contrat commercial entre le prestataire des services dauthentification ou le vendeur de moyens matriels et/ou logique et son client utilisateur jouera un rle essentiel avec des obligations de rsultat sur des lments objectivement quantifiables et des obligations de moyens attnues ou renforces selon les obligations concernes et le rsultat des ngociations. Comme nous lavons vu, aux tats Unis, les entreprises doivent mettre en uvre des mesures dauthentification considre comme suffisantes eu gard aux services en cause. Une authentification forte sera ncessaire pour les services bancaires par exemple. On peut donc penser que le juge attendra quen matire dauthentification les acteurs aient un comportement diligent (entreprise commerciale, industrielles, banques et assurances sur lInternet, autorits administratives, ). La certification ou la labellisation des produits dauthentification, associes au respect de ltat de lart du march, constituera, sans doute, un lment de preuve permettant de dmontrer la fiabilit de lauthentification.
310 J.O du 16 novembre 2001, p. 18215. 311 J.O. du 19 mars 2003, p. 4761. 312 J.O. du 27 juillet 2005, p.12160.
_________________________________________________________________________________________________________________
87/ 133
6
6.1
6.1.1
USE CASE 1 : DOMAINE BANCAIRE Les solutions dauthentification mises en uvre par les banques pour leurs usages
Panorama des solutions mises en uvre
Afin daugmenter le niveau de scurit des services offerts leurs clients, et en particulier pour le paiement distance et laccs aux comptes, - en cohrence avec les exigences de la Banque de France - les banques ont commenc mettre en place en 2009-2010 diffrentes mthodes dauthentification forte dites non rejouables . Ces nouvelles mthodes dauthentification rompent avec les mcanismes statiques prcdemment utiliss, en particulier le couple identifiant mot de passe et la date de naissance utiliss de manire transitoire pour le paiement scuris. Le dploiement de ces mthodes dauthentification est toutefois un processus long, ncessitant un enrlement plus ou moins lourd. Cest la raison pour laquelle il subsistera encore quelques temps une part rsiduelle de clients non enrls, car peu ou pas actifs sur linternet. Fin 2010, environ 60 % des usagers taient quips dune mthode dauthentification forte, mais leur utilisation restait encore limite pour le paiement en raison du faible quipement des commerants. Dans un souci de simplicit, dacceptabilit par les utilisateurs et de matrise des cots, les banques ont opt majoritairement pour deux mthodes, qui sont aujourdhui les plus rpandues (voir tableau cidessous). Principales mthodes dauthentification forte mises en uvre par les banques en France Mthode Description Fourniture dun OTP (mot de passe usage Afin de sauthentifier pour valider la transaction, le unique) par SMS ou via serveur vocal interactif client reoit sur tlphone mobile ou en appelant (SVI). un serveur vocal un mot de passe quil saisit ensuite sur le site internet. Lecteurs de cartes bancaires (CAP) ou tokens Le client a reu un lecteur de carte de type permettant de gnrer des mots de passe usage calculette de sa banque. Pour sauthentifier, il unique insre sa carte bancaire dans ce lecteur, saisit un identifiant ainsi que son code PIN. Le lecteur lui fournit un mot de passe reporter sur le site internet comme dans le premier cas. Dautres mthodes dauthentification devraient apparatre dans le futur. Les certificats lectroniques en font partie, tout comme des mthodes innovantes pour linternet mobile. La signature lectronique connat, elle aussi, un dveloppement plus timide, par le biais de certificats logiciels. Elle trouve un intrt majeur pour la souscription en ligne : ouverture de comptes pargne ou souscription des produits financiers, demandes de crdit, etc. De manire croissante, les banques auront donc leur disposition une panoplie de mthodes disponibles, quelles pourront adapter diffrentes catgories dutilisateurs (plus ou moins actifs) et environnements en fonction du niveau de scurisation. Ainsi, un achat de montant lev sur un site hors Europe est-il potentiellement plus sensible quune acquisition de faible cot en France.
6.1.2 Le protocole 3D Secure
Le protocole 3D-Secure est applicable en France depuis le 1er octobre 2008. Dploy sous les appellations commerciales Verified By Visa et MasterCard SecureCode, ce systme de scurisation permet de limiter le risque de fraude li aux tentatives d'usurpation d'identit. Pour cela les banquiers acqureur et metteur
_________________________________________________________________________________________________________________
88/ 133
doivent disposer de la solution qui permet de s'assurer, lors de chaque paiement par carte sur un site de ecommerce, quelle est bien utilise par son titulaire. Les sites de e-commerce acceptant ce type d'authentification peuvent alors apposer sur leurs pages les logos "Verified by Visa" ou "MasterCard SecureCode". La mise en uvre de ce protocole va de pair avec lactivation du Liability Shift . Le commerant obtient ainsi une garantie de paiement, sinon le risque est port par le banquier metteur qui authentifie le porteur de carte par le moyen quil juge adapt. Dautre part, le commerant ne reoit plus dimpays lis la fraude (vol de fichiers) et vite les contestations du type ce nest pas moi qui ait fait la transaction (vol du n de carte + CVV), qui reprsentent 80% des fraudes sur Internet (source FEVAD). Mais cela ne le dispense pas des audits de scurit imposs par Visa et Mastercard. Dernier avantage, Visa annonce une commission dinterchange moins leve pour les transactions 3D-Secure.
6.1.3 Problmatique de la solution dauthentification
Limpact de 3 D Secure sur le processus dachat nest cependant pas neutre ; la demande dun code pouvant drouter, voire interrompre lachat. On voquerait une perte de 10 15% du taux de transformation sur les sites cause de la complexit du procd. Ce qui explique que nombre de commerants ont prfr reporter sa mise en uvre. Lapproche des banques est donc prudente vis vis des porteurs :
Certaines envoient systmatiquement une demande d'inscription (gratuite), par exemple en mme temps que le relev de compte. Le taux de retour est dans ce cas assez faible. D'autres intgrent la dmarche d'enregistrement au premier achat 3D Secure.
Point bloquant, lcran de validation 3DS, qui diffre de celui du vendeur ! Bien que le code ne doive pas tre confondu avec le PIN de la carte bancaire, il fonctionne sur le mme principe de trois essais. En cas d'chec, la carte risque de ne plus pouvoir tre utilise pour des achats sur les sites affilis 3 D Secure, moins de contacter sa banque pour dblocage. Autre faiblesse du procd, la demande de date de naissance, pendant les premiers mois de sa mise en uvre ; une donne quasiment publique qui a longtemps frein les internautes ; mais aujourdhui, cest le code SMS qui prvaut. . Par ailleurs, les tudes de la Banque de France313 attestent que les internautes ne sont pas prts troquer la scurit pour une facilit dutilisation.
313
Banque de France. Observatoire sur les moyens de paiement. 2010
_________________________________________________________________________________________________________________
89/ 133
La Banque de France a conduit en 2007 et 2010 une enqute sur la perception de la scurit des cartes de paiement par les porteurs. Par rapport 2007, lenqute 2010 atteste dune plus forte perception de scurit de la part des porteurs Ainsi, les Avertis sontils passs de 28% 39%.
6.2 Situation en Europe Le fait que le march franais peine dployer 3D Secure est connu depuis assez longtemps. Ds 2003 une communication prcipite des banques avait braqu les poids lourds du e-commerce avec lannonce dune mise en place obligatoire du procd. Ils estimaient314 tre mis devant le fait accompli, sans concertation pralable vis--vis dune communication trop technique (3D Secure, V by V, Idtronic, Cryptogramme visuel), anticipant la rticence des consommateurs. A lpoque, le risque des grands e-commerants tait grable et ils taient prts lassumer. Depuis, la situation a chang : 300 millions de transactions, 30 milliards de CA, dont les 2/3 raliss par 60.000 sites marchands315. Donc, la ncessit de faire voluer la gestion des risques par rapport aux dbuts de la vente en ligne. Mais aujourdhui le constat est le suivant : la rticence 3DS provient essentiellement des commerants, non des internautes. En effet, le march franais apparat assez isol en Europe. Le panorama Ogone316, men au premier trimestre 2010, tmoigne dun fort blocage, avec seulement 13 % des transactions sur 3DS, contre une moyenne europenne de 48 %317. Ainsi le march anglais, le plus dynamique dEurope totalise-t-il 96 % de transactions 3D Secure, et le Benelux plus de 80%.
Voir ltude de fvrier 2004 mene par GM Consultants pour lACSEL (Association pour le Commerce et les Services en Ligne) soit deux fois plus qu fin 2007 316 Ogone est un prestataire de paiements scuriss 317 la part des transactions authentifies en Europe sur le total des transactions 3D-Secure a progress et est passe de 48 % en mai 2009 69 % en fvrier 2010.
314 315
_________________________________________________________________________________________________________________
90/ 133
6.3 3DS, premiers lments de diagnostic Concernant la relative stagnation de 3DS, plusieurs points sont souligner :
Les grands e-commerants n'ont pas donn l'exemple. Bien au contraire, au travers de leurs associations (FEVAD, ACSEL), ils ont mis en avant le risque de perte de CA du 3D Secure et sont dans une posture de rsistance. Selon Ogone, 13,4 % des transactions 3DS en France donnent lieu un abandon contre 9,7 % en moyenne en Europe. Toujours selon Ogone, 3DS accroit le temps d'achat de 100 s 200 s, sur la partie paiement. 3D Secure a mauvaise presse auprs des acteurs du e-commerce, notamment les petits prestataires. Un buzz ngatif circule sur le Net entre commerants et bloggeurs318. Peu de consommateurs semblent connaitre lexistence mme de 3DS, et quand bien mme ils seraient informs, la majorit ignore sa procdure de mise en uvre. Les banques elles mmes sont fort discrtes vis--vis de leurs clients. Des messages sont transmis via un relev de compte mais sans tre renouvels.
Le march anglais demeure une rfrence. Pourquoi le procd est il largement accept au Royaume Uni ? Est-ce parce que les banques (moins nombreuses quen France sur un march de lacquiring trs concentr) ont appliqu un mme systme donc plus facile adopter ? Est-ce parce que la communication a t meilleure tous les niveaux de la chane : acheteurs, commerants, rseaux commerciaux et centres dappels ? Est-ce parce que les commerants britanniques sont plus exposs la fraude ? En France, le march de lacquiring est moins concentr et chaque metteur propose son systme dauthentification (date de naissance, boitier Xiring, SMS/OTP,) comme un facteur de concurrence. Une absence de rgles qui, combine une communication maladroite, explique partiellement la situation dchec de 3DS. Autre point faible, le manque de communication quant au transfert de responsabilit vers la banque du porteur, lment dterminant de succs. 6.4 Une interoprabilit limite des mthodes dauthentification A lchelle franaise, les banques marquent une avance sur la fourniture de moyens dauthentification forte leurs clients. Aucun autre acteur conomique ne peut se prvaloir dune telle exprience de dploiement auprs de particuliers. Pour autant, ces mcanismes, non interoprables, ne peuvent tre utiliss que dans le cadre de ltablissement metteur. Dvelopper linteroprabilit constitue un dfi majeur : un moyen dauthentification unique signifie une multitude dusages mais surtout, une taille critique et un effet volume . La mutualisation des infrastructures enrichit le potentiel de revenus et justifie des investissements pour des mthodes dauthentification nouvelles, notamment les certificats lectroniques. Toutefois, la mise en uvre de mthodes dauthentification interoprables induit des cots : rfrentiels communs, exigences de scurit et contrles tout comme lacceptation dun modle conomique et dune fonction de gouvernance. 6.5
6.5.1
Les leviers du dveloppement de lauthentification forte dans les services bancaires

La gestion de la fraude sur Internet
Dans le domaine bancaire, la fraude via le canal internet continue de se dvelopper, la fois en valeur absolue et relative. De manire gnrale, la cybercriminalit et lusurpation didentit en ligne sont en plein essor. Les attaques se multiplient, sous de nouvelles formes (les botnets, les hacktivistes, etc.) et touchent de nouveaux types de terminaux, en particulier les smartphones dont lusage se dveloppe rapidement.
Comme ce tmoignage sur un blog dun web agency Aprs quelques mois dutilisation du 3D Secure impos par les banques, nous confirmons notre chelle le constat dun chec total en terme dimpact sur les ventes. Plusieurs clients sinquitant dune forte chute de leur CA en ligne (parfois proche des 30%) suite la mise en uvre de 3DS ont demand leur banque de le dsactiver. Dans la foule, nous avons pris le parti de conseiller aux autres de faire de mme
318
_________________________________________________________________________________________________________________
91/ 133
Dans un contexte de dveloppement et denrichissement des services en ligne, la nature et le niveau de la fraude constituent un levier majeur pour lintroduction massive de moyens dauthentification forte et de signatures lectroniques.
6.5.2 Lopportunit de mthodes dauthentification interoprables et largement diffuses
Les certificats lectroniques constituent un potentiel majeur pour la socit numrique ; la confiance dans les services en ligne devant contribuer dmatrialiser des usages plus complexes (y compris ceux encadrs par la loi tels que les ouvertures de comptes bancaires). De par leur normalisation au niveau international et grce au RGS), les certificats constituent une rponse la fois technique et juridique aux problmes dinteroprabilit. Nombre de pays ont dj initi des programmes de certificats lectroniques interoprables, parfois pilots par des banques, comme mentionn dans le tableau ci-dessous: Pays Estonie Nom Cration Emission Acceptation Nombre de titulaires 1,4 million 20 000 (mobile ID) Commentaires Obligatoire Prix : 16 (5 ans). Le certificat inclut une adresse email au format @esti.ee. Ltat estonien soustraite lmission et lusage de la CNIe une socit fonde par 2 banques (Swedbank et SEB) et 2 oprateurs tlcoms. 1,3 million de transactions PKI par jour NB : projet de CNIe en Norvge. La banque Nordea et loprateur TeliaSonera mettent des certificats elegitimation indpendamment de BankID. La Sude a galement lanc une Carte didentit lectronique en 2005 qui embarque des certificats lectroniques. Non obligatoire La fonctionnalit carte de citoyen pour lusage en ligne est dconnecte du support de la carte didentit et peut tre active gratuitement sur diffrents types de supports (y compris carte bancaire).
Carte didentit 2002 nationale
tat + Tous banques/ services Telcos
Norvge BankID
2003
Banques
Services publics, services privs, banques Services publics, banques
2,5 millions (+70% de la pop adulte) 2 millions
Sude
BankID / e- 2003 legitimation
Banques
Autriche Label sur la 2003 base certificats sur supports certifis (Brgerkarte)
tat
Services publics, services privs, banques
? 2006 : 100000
_________________________________________________________________________________________________________________
92/ 133
Pays
Nom
Cration
Emission
Acceptation
Nombre de Commentaires titulaires Quels que soit le support, le processus denrlement se conclut par une activation du certificat en ligne : le client demande un code qui lui est envoy par la poste, et quil doit ensuite saisir sur le site ddi. 4,2 millions (citoyens ayant utilis un certificat en ligne) En complment de la carte didentit lectronique obligatoire lance la mme anne, @firma permet de raliser linteroprabilit entre 12 fournisseurs de certificats, y compris ltat espagnol (dans le cadre de la CIE) ainsi que ltat portugais (CIE portugaise). La banque Banesto319 est lun des 12 fournisseurs. Dclinaison de BankID (Norvge), projet pilot par BBS / PBS.
Espagne
Plate-forme de 2006 validation multi-PKI @firma
tat, collectivit s locales, acteurs privs, 1 banque
Services publics (180 services)
Danema rk
NemID
PROJET Banques
Services publics privs, banques
et
Source : Porvoo Group 16 (mars 2010), Porvoo Group 15 (mai 2009), EU E-ID interoperability for PEGS report (juillet 2009) - Austrian citizen card.
319
La banque Banesto (Banco Espaol de Crdito) fait partie du Groupe Santander. Cest l'une des principales banques espagnoles avec plus de 3 millions de clients et 1600 agences.
_________________________________________________________________________________________________________________
93/ 133
USE CASE 2 : ROLE DES OPERATEURS MOBILES ET DE LA CARTE SIM DANS LAMELIORATION DE LA CONFIANCE DANS LA SPHERE NUMERIQUE
7.1 Le mobile comme outil universel d'amlioration de la confiance en ligne Le mobile peut tre utilis de deux faons dans ce rle d'amlioration de la confiance : soit en bi-canal pour signer, identifier ou authentifier l'utilisateur quant il navigue sur son PC, soit en mobilit, le mobile servant alors la fois de vhicule de confiance et d'outil de navigation internet. Dans le paysage des services en ligne, les oprateurs mobiles disposent de quatre atouts leur permettant de se positionner comme des acteurs majeurs :
Un rseau de plusieurs milliers de points de vente grce auxquels le client est prsent en face face Une carte SIM scurise Une disponibilit du terminal tout moment Plus de 90% de la population adressable
7.2 Le mobile comme vecteur de confiance en bi-canal Comment garantir lidentit et lintgrit dun internaute, mais aussi lui permettre de signer via un PC sans lecteur de carte ni cl USB ? Cest prcisment la force des portables. Lusager, o quil soit, peut confirmer son identit en activant un certificat sur la carte SIM de son mobile dont il a communiqu les coordonnes. Ainsi, toutes les transactions soprent en confiance sans autre quipement que le tlphone. Une procdure daccs quasiment universelle pouvant bnficier du parc de mobiles. Et elle a lavantage de pouvoir tre mise en uvre n importe o, sur le lieu de travail, en voyage, dans un business center sans risque de capture de donnes sensibles ; la carte SIM restant sous contrle exclusif de lusager, car protge par un code connu de lui seul. La procdure bi-canale ne ncessite aucun quipement supplmentaire. En communiquant sont numro de portable, l'usager reoit alors un message lui demandant son accord pour la transaction en cours sur son PC (identification, signature, authentification), accord garanti par le certificat d'identit stock dans sa carte SIM (Exemple dauthentification (Document SFR)
Exemple d'une identification pour un acteur de jeux en ligne

1
Le client clique sur "je m'identifie via SFR" et saisit son numro de mobile Plateforme ID num Une requte d'identification est envoye pour ce numro de mobile avec certaines donnes clients vrifier (nom, prnom, date de naissance)
Un message comprenant des donnes de contexte est envoy la carte SIM
M. XXX, vous souhaitez vous identifier sur tierc.fr.fr
OK
KO
2
Le client saisit son code personnel sur son mobile
3
Le client est inform du statut de sa demande sur le site tierc.fr
Un SMS est renvoy la plateforme avec OK/KO des donnes compares et l'empreinte du message crypte
Veuillez saisir votre code secret de certificat SFR ****** OK
- Une comparaison des donnes envoyes et des donnes du certificat est ralise - L'empreinte du message d'identification est signe avec la clf prive du certificat
Mobile signature platform Internet website Le message crypt est vrifi et si OK et comparaison OK : l'identification est russie et le client peut accder son compte
La relative stagnation de 3D Secure par SMS, qui rpond la demande de la Directive Europenne sur les moyens de paiements de dispositif de scurit personnalis320 , ncessite de sinterroger sur lergonomie du procd. La confirmation dOTP pourrait seffectuer sur mobile par activation dun certificat sans ressaisie
La Directive Europenne propose le concept de dispositif de scurit personnalis ou DSP qui peut prendre plusieurs formes. Pour un paiement par carte en ligne, le DSP peut prendre la forme dune authentification supplmentaire. La Banque de France recommande de promouvoir lauthentification non rejouable, dont 3D Secure constitue un procd. Entretien avec Alexandre Stervinou, Banque de France Novembre 2010.
320
_________________________________________________________________________________________________________________
94/ 133
du code par le navigateur. Un mcanisme qui pourrait gnrer davantage de revenus pour loprateur tlphonique que la simple transmission dun SMS. Dans le cas illustr ci-contre linternaute souscrit un contrat dassurance. Lactivation du certificat lui permet de signer en ligne et garantit la prise deffet immdiate. Un SMS lui confirme la validit de la transaction (Document SFR)
3
Lancement du processus de signature cran mobile (facultatif)
Accs au site du SP et souscription 1 assurance en ligne
cran mobile
Description de lopration: Sou scription dassurance auto assurland. Montant annuel de 621,37 Rfrence dossier OK / cancel
cran mobile
Entrer le code secret du certificat
cran mobile
Confirmation que le contrat est sign Cliquer sur OK pour terminer SMS ou email de confirmation finale au client
OK
Entrer le code spcifique vu sur le PC et lcran du mobile
6
Cas o signature prime
Cancel Choix donn au client : annulation dfinitive ou en attente 24Hrs (tbc) puis est prime automatiquement (avec msg dinfo au client lui expliquant cela)
Info que la transaction est prime Cliquer sur OK pour terminer
SMS et email de confirmation finale au client
7.2.1
Linternet mobile en France reprsente ce jour plus de 4 millions dusagers avec un taux de croissance significatif : prs de 3 millions de nouveaux quipements seront vendus en 2011, dont 1 millions de tablettes321, tires par le succs de liPad. Ce parc constitue un potentiel significatif pour des accs scuriss en ligne. En effet, pouvant tre drobs facilement, smartphones et tablettes justifient un renforcement des procdures de connexion de type mot de passe / identifiant de faon les utiliser en mobilit. Dans un premier temps, bien adapte des accs de type consultation /transactions : banque en ligne, transaction de valeurs mobilires, achats sur la toile. , la tablette permettra, lavenir, de raliser des dmarches plus complexe : ouverture de comptes, souscription de contrats, virements bancaires.si la carte SIM dispose de certificats dauthentification et de signature.
7.2.2 Identit sur carte SIM
Authentification et mobilit
Lidentit sur SIM ne doit pas tre restreinte la connexion en ligne ; la confirmation de l'identit ou la signature lectronique sur mobile peut galement peut galement tre envisage dans le monde rel. La Bundesdruckerei allemande propose des initiatives en ce sens, partir du protocole de communication NFC. Ces initiatives doivent tre suivies avec attention dans la mesure o lauthentification du porteur devra ncessairement tre confirme par activation dun certificat. 7.3 Typologie des services en ligne viss Nos concitoyens se situent dans un cosystme numrique parmi les plus riches dEurope322. Vu le succs des smartphones, on sattend une floraison dapplications sur mobiles. Il nest donc pas surprenant que l'identit numrique SIM comme vecteur de confiance soit considre comme une offre de services diffrenciante par les oprateurs. Solution qui sera dautant apprcie quelle ne sera pas facture
Le chiffre daffaires des appareils smartphones fait un bond en avant spectaculaire. Linstitut danalyse et dtude Gfk vient de publier une prvision pour cette anne: plus de 2,7 millions de smartphones seront vendus. Linternet mobile est en pleine explosion avec plus de 4,2 millions dutilisateurs .Le taux de croissance de ce mtier est clairement explosif. http://www.rachatducredit.com/la-vente-smartphones-804.html 322 59 M dabonns mobiles en France dont 16M quips de la 3G o 39 M dinternautes quips 98% avec une liaison haut dbit o 9 franais sur 10 quips dun mobile o 1 franais sur 5 (21,3%) est quip dun Smartphone.
321
_________________________________________________________________________________________________________________
95/ 133
lusager mais au prestataire chez qui elle induit un gain de productivit et permet la constitution dun dossier de preuves opposable en cas de litige. Le Baromtre CDC ACSEL 2010 sera sans doute ractualiser avec la perce des smartphones ; la connexion internet devenant un tat intrinsque du mobile.
Etude AFMM (Association Franaise du Multimdia Mobile). 20% des usagers se connectent plusieurs fois par jour, un taux qui sera revu la hausse, vu la croissance du parc de smartphones. Ltude AFMM323 confirme que le smartphone constitue un relais de croissance de leCommerce. Parmi les utilisateurs mobiles, ceux quips de Smartphones et plus spcifiquement diPhones sont ceux qui achtent le plus : prs dun utilisateur diPhone sur 2 (44%) a dj effectu un achat sur lInternet mobile (hors applications depuis lAppstore). Et prcisment ce sont les CSP+, identifis par ltude CREDOC comme accros de linternet, qui seront galement les pionniers du mobile324. Le rle des oprateurs tlphoniques peut se rsumer comme suit :
Fournisseurs d'identit car connaissance client et face face pour un usage "n importe o n'importe quand,
et avec n'importe quel moyen d'accs au web", sans aucun matriel supplmentaire autre que le mobile et sa carte SIM Eventuellement hbergeur de certificats Tiers, du fait de la simplicit d'usage des certificats mobiles-SIM
7.4 Modle(s) financier(s) A la diffrence des offres de contenus dont le consommateur rmunre la fourniture de biens et services, le march de lauthentification porte sur le contenant, c'est--dire les modalits daccs. Dans ce cas, le prestataire rmunre celui qui lui garantit la lgitimit du consommateur se connecter. Il est prmatur de proposer un modle financier dans la mesure o prestataires de services (SP) et fournisseurs didentit (IDP) tudient comment se positionner dans le cadre du programme IDNUM.
Le guide du Micro-Paiement AFMM (Association Franaise du Multimdia Mobile) 2010 Les profils des acheteurs en ligne de contenus et services diffrent lgrement selon les canaux o seffectue lachat : ainsi, si les acheteurs sur Internet fixe sont plutt des hommes (57,3%), ils sont un peu plus gs sur lInternet fixe (36,1% de 35 49 ans) que sur lInternet mobile (31,7% ont entre 15 et 24 ans). Ils sont majoritairement CSP+ (38,1% sur le fixe et 35,3% sur mobile). Etude AFMM 2010
323 324
_________________________________________________________________________________________________________________
96/ 133
Comme la part de contrle identitaire des services en ligne est bien perue comme une charge par les fournisseurs de services, on trouvera dans les paragraphes suivants une estimation de ce march adressable. Sur la base de ce march, il appartiendra aux oprateurs tlphoniques dvaluer comment proposer cette offre nouvelle leurs clients sachant que dimportants investissements devront tre raliss : modification des cartes SIM, enrlement en face face, mais, surtout, mise en uvre daccords avec les prestataires en ligne. La possibilit de nouer des partenariats vis--vis dautres fournisseurs didentit apparait comme une stratgie trs pertinente vu le potentiel du parc de portables et la facilit de mise en uvre du procd bicanal. Ainsi, l'utilisation de la cryptographie et de la scurit de la SIM pour gnrer des certificats pour des Tiers, constitue-t-elle une opportunit dans la mesure o certains fournisseurs didentit potentiels (notaires) ne disposent pas aujourdhui dun support scuris pour les accs en ligne. Concernant les prestataires de services, ladhsion un Cercle de Confiance lablis IDNUM constitue certainement le procd le plus efficace permettant dviter la multiplicit des accords. Quil sagisse dun modle licence ou dun mcanisme bas sur le nombre de transactions, lapproche conomique des oprateurs devra tre concurrentielle par rapport aux cots de saisie et authentification dtaills dans les paragraphes suivants.
7.4.1 Enrlement & contrle didentit
La saisie dtat civil et adresse des abonns rpond une exigence lgale des oprateurs. Des prestataires se positionnent sur ce segment de march qui vise automatiser lextraction des donnes partir de titres didentit et contrler leur cohrence avec les attestations de domicile et pices de banque325. Sachant que la fraude la souscription est value 5%, ce type dquipement gnre dj un fort gain de productivit pour un cot valu moins dun euro contre les 6 euros occasionns par la saisie des multiples documents. Le renouvellement du parc de mobile (plus de 20 millions dunits vendues chaque anne) constitue une opportunit trs consquente pour les oprateurs qui souhaiteraient embarquer des certificats sur leurs cartes SIM. Si on totalise les 4 millions dusagers disposant dinternet mobile aux 3 millions de futurs dtenteurs de smarphones et tablettes attendus en 2011, on apprhende bien lampleur et le potentiel du parc mobile. Comme mentionn dans les pages prcdentes, mme si le smartphone donne limage dun quipement de consultation en ligne, on anticipe - grce lergonomie des crans quil se positionnera bientt comme un terminal multi-fonctions, destin tant aux transactions et consultations qu la contractualisation doffres sur la base de signatures.
Au dpart, SFR entendait se rserver la solution quil dveloppe avec Cryptolog de dmatrialisation complte de la souscription de contrats au point de vente. Il la mettra finalement disposition des banques, des assurances et mme de ses concurrents oprateurs. La solution avait t baptise AriadNext. La partie visible est une tablette graphique, dveloppe par SFR suivant un cahier des charges spcifi par Marc Norlain, alors responsable IT fraudes et prvention du risque de SFR. Elle intgre un scanner par dfilement, qui capte les identifiants figurant au bas des cartes nationales didentit et des cartes bancaires, que les souscripteurs doivent prsenter avant toute souscription. La cohrence de ces identifiants est immdiatement vrifie en ligne en interrogeant les listes noires. Les justificatifs de domicile traditionnels ne sont donc plus demands, mais ladresse est malgr tout contrle. Si aucune incohrence nest dtecte, une demande de certificat est envoye Cryptolog qui met alors immdiatement un certificat client dune dure de vie de 30 minutes. Le contrat peut alors tre sign par le souscripteur manuellement sur la tablette et avec ce certificat, puis avec le certificat personne morale de SFR. Il est ensuite conserv, et par SFR (pour les besoins de son service client) et par Cryptolog (pour larchivage valeur probatoire). Depuis son dploiement dans les boutiques SFR, AriadNext na cess dtre rcompense par des distinctions. Elle a remport le DmatAward de la Fdisa au salon Documation 2009. En juin 2009, elle a t laurate du concours national daide la cration dentreprise de technologies innovantes du ministre de lenseignement suprieur et de la recherche. En juillet dernier, elle a t finaliste du 5e Carrefour des possibles organis Rennes par la Fing, la rgion Bretagne et Tlcom Bretagne. Elle sera galement finaliste au 11e Tremplin Entreprises les 12 et 13 fvrier prochains au Snat. "Devant lampleur de lintrt rencontr, annonce Marc Norlain, nous avons dcid de crer une spin-off autour de cette technologie." AriadNext est donc sur le point dtre constitue en socit commerciale, dveloppant et commercialisant "une solution de dmatrialisation de contrats au point de vente pour les oprateurs, les banques et les assurances". AriadNext devrait galement intgrer la dmatrialisation de lAPA (Autorisation de prlvement automatique), sa signature lectronique par le souscripteur et sa transmission scurise la banque du crancier (SFR ou autre) ainsi qu la banque du dbiteur, via la messagerie SepaMail, que le groupe BPCE (Banque Populaire Caisse dEpargne) veut mettre en place au niveau europen. Un pilote est prvu entre SFR et BPCE. Lobjectif est non seulement de dmatrialiser cette APA, mais aussi de combattre la fraude au RIB par un contrle de cohrence en temps rel. Lapplication permettra la rvocation en ligne et le changement de domiciliation en temps rel. AriadNext permettra galement linsertion du certificat lectronique dans les cartes SIM des abonns mobiles pour autoriser la signature lectronique avec un mobile.
325
_________________________________________________________________________________________________________________
97/ 133
MODELES ECONOMIQUES ET CHAINE DE VALEURS
8.1 March adressable de lauthentification en ligne Lauthentification en ligne nest pas une offre de contenu mais du contrle daccs; rien de commun avec les services de tlchargement. Pas non plus de fichiers volumineux, mais une transposition dans le monde de limmatriel des relations avec le secteur priv : relevs de comptes, transactions, contrats, formulaires..Le modle de revenus nest donc pas bas sur lusage, mais sur un droit daccs, vers par le fournisseur celui qui minimise ses cots de traitement. Prenons lhypothse que les certificats sont fournis gracieusement lusager ; le fournisseur de services en ligne (SP) ralisant un gain de productivit grce au prestataire didentit (IDP) qui lui communique les donnes exigs par le contexte rglementaire : nom (pas toujours ncessaire), date de naissance (utile pour distinguer des homonymes, mais est-ce ncessaire si lidentit est atteste ?), adresse (idem), ge (cest le cas des jeux en ligne, mais un critre de majorit peut suffire) . Le march adressable correspond deux types de cots gnrs aujourdhui pour le traitement de lidentit : ladhsion, lorsquon souscrit pour la premire fois un service, et lauthentification, quant on sy connecte de faon scurise. Ce march adressable permet dvaluer le potentiel de revenus pour des solutions base de certificats ; mais cest galement un plafond ne pas dpasser sans quoi les prestataires nauront pas dintrt remplacer les procdures de contrle manuel.
8.1.1 Adhsion ou enrlement
Cette phase correspond la procdure dexamen du dossier communiqu par un client potentiel recrut par divers moyens - coupon-rponse, tlphone ou internet - : photocopie du titre didentit, attestations de domicile (EDF, Tlcom), bulletins de salaire, RIB Nos prposs contrlent leur cohrence, de mme que le libell du formulaire de souscription. Des pices examines visuellement de faon sassurer de leur intgrit ; des croisements tant oprs avec des bases de donnes dadresses et de personnes suspectes (fichier positif, interdits de jeux, autres). Cette phase denrlement est critique dans la mesure o ces pices seront opposables en cas de litige. Ainsi le financeur devra-t-il attester du consentement dun emprunteur, voire dun co-emprunteur, c'est--dire de signatures apposes sur les contrats de souscription. Ce dossier dadhsion est envoy par la poste, plus rarement scann et communiqu en ligne. Cest prcisment cette phase qui connait les taux de rejet les plus importants : mauvaise qualit des photocopies, attestation de domicile ancienne, titre didentit prim, etc Daprs nos informations, ce cot de contrle strictement identitaire se situe entre 5 et 15 euros (prenons lhypothse mdiane de 10 euros) : chiffre qui exclut les frais - marketing, commerciaux, communication326 - inhrents la conqute de nouveaux clients. Les frais non identitaires devant persister mme si des certificats sont utiliss lavenir pour les accs en ligne. Ne retenons donc que ces 20% du montant de conqute valu 50-150 euros, suivant le type de contrat souscrit (banque en ligne, crdit la consommation, autre).
8.1.2 Authentification, ou accs scuris
Cette phase correspond au contrle de cohrence entre attributs soumis en ligne et ceux dont dispose le SP, suite lenrlement de linternaute. A ce stade, le client est dj rpertori dans la base du SP, mais celui-ci scurise les accs pour des oprations sensibles : virements, transactions, etc.Grce cette authentification, linternaute pourra galement souscrire de nouveaux produits en attestant de son consentement par une signature, comme dcrit dans la phase denrlement ci-dessus.
326
Pour le secteur du crdit la consommation, le cot de conqute dun dossier client reprsente un montant de 50-150 euros, voire davantage.
_________________________________________________________________________________________________________________
98/ 133
Sachant que des mcanismes comme 3D Secure coutent 7 centimes aux banques, le montant de lauthentification forte devra tre infrieur ce plafond. Sinon, des solutions de type SMS lemporteront au dtriment des certificats.
8.1.3 Le modle financier
Sachant que le cot de traitement identitaire du dossier client est peru comme une charge par le prestataire de services en ligne (SP), trois modles financiers pourraient tre envisags : gratuit, rmunration laccs et adhsion un cercle de confiance.
Gratuit
Dans cette perspective, le SP dgage un important gain de productivit. Lidentit de linternaute lui est garantie, de mme que la lgitimit de la signature lectronique, mais sans contrepartie financire. Dans ce cas, lIDP ne peut tre quun reprsentant de ltat qui favorise ainsi le dynamisme de lconomie numrique en anticipant des recettes fiscales nouvelles On imagine mal des acteurs privs se positionner comme fournisseurs didentit, faute de retour financier.
Rmunration laccs
Dans ce cas, le SP rmunre lIDP qui lui certifie lidentit de linternaute chaque connexion, quil sagisse dune adhsion au service, de souscription des offres en ligne ou dune authentification forte. Cette formule prsente plusieurs inconvnients :
Ngociation daccords pralables entre tous SP et IDP Modification du systme dinformation du SP pour mise en uvre dun mcanisme dauthentification Rmunration par les SP de multiples IDP
On imagine la complexit du procd : petits SP (ex. jeux en ligne) devant signer avec de multiples IDP, importantes modifications du SI vis--vis dun march encore mergeant, modalits dauthentification propritaires, etc. Mais surtout, paiement dune redevance immdiate aux IDP, une charge qui sajoutera au cot dquipes de contrles manuels devant tre maintenues, le temps que la dmatrialisation du procd permette de rduire ces effectifs.
Connexion un Cercle de Confiance
La connexion un Cercle de Confiance runissant la fois IDP et SP sur la base dun label - de type IDNUM - garantissant la qualit de lenrlement comme la fiabilit des fournisseurs semble pouvoir contribuer au dveloppement des services en ligne. Dans ce cas, il nest plus ncessaire que tous SP formalisent des accords avec les IDP. En effet, chaque SP contracte une licence lui donnant accs tous les internautes titulaires de certificats, quelques soient leurs IDP. Inversement, tout internaute affili un fournisseur didentit peut senrler et sauthentifier auprs de nimporte site en ligne lablis. Cette mthode possde plusieurs avantages :
Dporter lauthentification auprs dun mcanisme mutualis entre SP et IDP Rmunration des IDP, au pro-rata des accs, sans ncessiter daccord bilatraux pralables entre fournisseurs didentit (IDP) et prestataires de services (SP).
La mise en uvre dun tel Cercle de Confiance ncessite de solliciter un investisseur (institutionnel ou priv) qui participera la mise en uvre du dispositif suivant :
Labellisation des IDP et SP Mise en uvre du mcanisme dauthentification dport Gestion de la licence (perception des redevances, rmunration des IDP) Gestion des liste de rvocation (CRL)
La mise en uvre dun Cercle de Confiance permet aux IDP et SP de faire lconomie daccords bipartites, dont la complexit de mise en uvre risque de pnaliser les usagers. Le label garantissant un haut niveau
_________________________________________________________________________________________________________________
99/ 133
de fiabilit entre les parties. Le modle financier rester prciser, mais dj les grandes lignes en sont perceptibles :
Acquittement dune licence par les IDP Acquittement dune licence par les SP Versement dune redevance par les SP au prorata des demandes dauthentifications et de signatures sur la base des ordres de grandeur prciss ci-dessus : enrlement / signature 10 euros, authentification 0,06 euros. Rmunration des IDP au prorata des demandes dauthentifications et de signatures provenant dinternautes dtenteurs de leurs certificats.
Cette opportunit apparait fort attractive pour linvestisseur participant la mise en uvre du projet. Grce au Cercle de Confiance, SP et IDP pourraient rapidement disposer dune taille critique et dvelopper des offres de service.
8.1.4 Offre de substitution et offre dynamique
Le march adressable de lauthentification se divise en deux segments : une offre dite de substitution - qui transpose les mcanismes du monde rel - et une offre dite dynamique, dope par leffet web et les certificats. Globalement, ce march pse plus dun milliard deuros en cinq ans, le temps que les services en ligne soient rentrs dans lusage des internautes. Quil sagisse de services nouveaux ou de gains de productivit, ce montant doit tre compar aux cots de certificats qui ncessitent une logistique importante : dlivrance, exploitation, SAV, rvocation .. Grce au Cercle de Confiance, le march de lidentit sera morcel entre multiples IDP : ltat - pour le renouvellement ou la dlivrance dune CNIe-, les oprateurs tlphoniques dont cette offre constitue un relais de croissance mais galement divers acteurs de lconomie qui bnficient dune relation privilgie avec leurs clients : banques, notaires, la Poste.
8.1.5 Les types de certificats :
Quoique lusager sattende une forte interoprabilit, nous limaginons confiant utiliser un certificat de banque pour des oprations financires. Mais il est fort probable quavec lessor des tablettes - et la possibilit de se connecter en mobilit - les portables de nouvelle gnration permettront de raliser toutes sortes doprations en ligne, les cartes SIM pouvant hberger des certificats dauthentification et de signature. Dailleurs, il nest pas exclu que les CSP+ cumulent plusieurs types de certificats : CNIe, portable, tablettes, banques.. La connexion en mobilit constitue le champ dapplication idal des cartes SIM, et aucun service en ligne ny chappera. Les smartphones constitueront ainsi un vecteur de croissance sachant que prs de la moiti du parc est renouvel chaque anne. Par ailleurs, les certificats sur mobiles permettent de sauthentifier en toutes conditions par la procdure bi-canal dcrite ci-dessus ( 7.1.1). Le portable garantissant par activation du certificat - lidentit de linternaute. Un mcanisme qui reprsente un fort vecteur dadhsion aux certificats, vu quil ne requiert aucun quipement additionnel (carte, lecteur de carte, cl USB). La CNIe est favorablement perue par la majorit des acteurs de linternet, mais les usagers ne vont-ils pas diversifier leur mode daccs en fonction du type de site ? Le baromtre CDC-ACSEL marque une forte confiance en une identit dlivre par ltat, mais, dans la mesure o les usagers nont pas t interrogs sur leur perception de procds alternatifs la CNIe, cette question reste en suspens. Quoiquil en soit, gageons quils feront choix dun procd qui, fourni gracieusement, leur garantira laccs un maximum de services. 8.2 Rpartition par types de certificats On trouvera ici des hypothses prudentes, vu la nouveaut du procd. Bien entendu, nombre dusagers disposeront de plusieurs certificats : CNIe, PC et SIM. Quelle sera leur attitude ? Deux hypothses se prsentent : utiliser le certificat garantissant le maximum dinteroprabilit ou se plier une approche mtier, c'est--dire choisir un certificat adapt au site : CNIe pour les services de ltat, IDNUM sur PC
_________________________________________________________________________________________________________________
100/ 133
pour des applications financires et SIM en mobilit. Mais est-il imaginable quil puisse ainsi changer didentifiant en fonction du service ? Un outil logiciel lui facilitera-t-il la tche ? Nous restreignant une population adulte, nous nous baserons sur les volumes suivants: 50 millions dindividus, 10% de CNIe par an mais seulement de certificats activs par nos concitoyens. En parallle, nous pourrions anticiper quelques 2,5% de certificats IDNUM avec une croissance annuelle forte (1,8), vu lintrt des IDP pour ces nouveaux marchs. Sur cette base, le nombre de certificats actifs en premire anne est fort modique : environ 4 millions, se rpartissant entre CNIe et oprateurs IDNUM. Mais, en cinq ans, nous totaliserions quelques 36 millions de certificats - chiffre plausible sachant que les internautes en possderont plusieurs et que les smartphones vont demparer du march qui se rpartissent comme suit :
10 millions de certificats de CNIe sur un total de 25 millions de titres dlivrs (soit 40%) 13 millions de certificats IDNUM PC. Un volume non excessif sachant, notamment, le souci des banques de scuriser les accs aux comptes (plus de 70 millions) et quils en seront les principaux bnficiaires. 13 millions de certificats IDNUM SIM, comprenant les certificats oprateurs et ceux dIDP ayant nou des accords avec les telcos. Une estimation raisonnable - sur un total denviron 50 millions dquipements vu le dynamisme de linternet mobile et lintrt de lauthentification bi-canale.
La progression du nombre de dtenteurs de certificats tient compte la fois de la dlivrance de la CNIe et de la promotion faite par les oprateurs IDNUM. Le total cumul de 36 millions de certificats en Anne 5 ne doit pas sousestimer que nombre dinternautes en possderont plusieurs et adapteront leur mode daccs en fonction des sites consults.
Nb de certificats (millions) CNIE IDNUM PC IDNUM SIM Cumul
Y1 1 1 1 4
Y2 4 2 2 8
Y3 6 4 4 14
Y4 8 7 7 23
Y5 10 13 13 36
La dlivrance de la CNIe constitue un lment important dans la mesure o elle constitue un socle solide partir duquel les oprateurs IDNUM pourront contrler la lgitimit du titre ; les modalits de synergie devant tre prcises : accs aux listes de rvocation, contrle dintgrit de la carte, etc.
_________________________________________________________________________________________________________________
101/ 133
Les certificats de CNIe sont dabord majoritaires, considrant que 10% de nouveaux titres sont dlivrs chaque anne et posant comme hypothse que seuls 25% des ayant-droits opteront pour lactivation du certificat en mairie. La croissance forte des certificats IDNUM dlivrs par les banques, oprateurs mobiles, autres ( ?)... permet de disposer dun vivier important de certificats actifs. Pour chaque service en ligne, le montant du march adressable tient compte la fois :
Du pourcentage de dtenteurs de certificats, Des statistiques du march (ex. nombre de prts par an, produits financiers souscrits, etc).
Les revenus se rpartissent comme suit : enrlement (10 euros) et un certain nombre de connexions (6 centimes deuros) bas sur les pratiques dusage : une fois la semaine pour un compte bancaire, davantage pour la banque en ligne, les dtenteurs daction tant plus actifs, vu la modicit des frais de transactions. La progression sur cinq ans nest pas la mme dans tous les secteurs ; les certificats nayant pas, notamment, vocation daugmenter le nombre de vhicules lous. Par contre, les usagers seront davantage enclins utiliser laccs en ligne pour changer des documents avec leurs notaires. Tout au contraire, les secteurs dops par la dynamique des certificats prts la consommation B2B2C connaissent une double progression : proportionnelle au nombre de dtenteurs et dope par la facilit de raliser une transaction en ligne. Dans les pages suivantes, nous privilgions certains secteurs dont on anticipe que les certificats contribueront, soit un gain de productivit (eBanking), soit crer une dynamique, vu les faible taux de conclusion en ligne lorsquil sagit aujourdhui de contrler les justificatifs. Dans cette valuation, nous ne tenons pas compte du secteur mdical. Concernant le DMP, les premiers patients commencent tout juste ouvrir leurs dossiers auprs des personnels de sant, sur la base du couple identifiant / mot de passe ; mais il nest pas question de contrler lidentit du patient. Quant la Tlmdecine, la loi HSPT et ses dcrets dapplication sont encore trop rcents pour quune obligation de contrle didentit soit obligatoire. Connaissant le peu de maturit de nos concitoyens pour la mdecine sur internet, il est prmatur davancer des chiffres. Mais gageons que ce secteur connaitra une progression forte vu le vieillissement de la population, comme la ncessit de faciliter la reconduction de soins. Il est galement possible que les assurances sant semparent du march renouvellement en ligne de prescriptions et diagnostics - de faon minimiser les frais de consultation. Par contre, des secteurs prometteurs comme la banque, le crdit la consommation et les assurances justifient que soit valu le potentiel pour des infrastructures base de certificats, vu les cots manuels de traitement des dossiers et la modicit des taux de conclusion en ligne, voire la difficult de signer lectroniquement des avenants, mme avec des clients en compte.
_________________________________________________________________________________________________________________
102/ 133
8.3
Secteur bancaire
90% 0,06 10 52 0,5 8% 10 104 24 1
% de dtenteurs de certificats pour eBanking Authentification forte eBanking () Souscription produits financiers eBanking () Nb consultation eBanking par an / banque de rseau Nombre de souscription de produits financiers / an, rseau et banque en ligne % de dtenteurs de certificats pour banque en ligne Enrlement banque en ligne () Nb consultation par an / banque en ligne Nombre de titres scripturaux /an pour dtenteurs de comptes Dmatrialisation titres scripturaux ()
La banque constitue le poids lourd de lauthentification forte et une raison de squiper pour les internautes dont nous estimons que 90% des dtenteurs lutiliseront pour accder leurs comptes. On anticipe mme que certaines banques pourraient les rendre obligatoires - comme les calculettes dalgorithmes secrets et grilles de correspondance de chiffres pour des oprations sensibles comme les virements ou la souscription de contrats en ligne. Le couple traditionnel identifiant / mot de passe ne donnant accs quaux services limits du eBanking traditionnel. Prenons galement lhypothse que linternaute se sent en confiance avec son certificat de banque pour des oprations de eBanking, quoique dautres certificats devront tre compatibles, comme ceux de cartes SIM pour y accder partir de smartphones et tablettes. Sil possde des comptes dans diffrents tablissements, gageons que son choix se portera sur celui qui offre le maximum dinteroprabilit, par souci dergonomie et de simplification.
Million () Banques de rseau
Banque en ligne
Toutes banques
Authent forte banque de rseau Contractualisation banque rseau Enrlement banque en ligne Authent. Forte banque en ligne Contractualisation banque en ligne Titres scripturaux Total banques
Y1 4 6 4 2 2 30 47
Y2 7 11 4 4 4 66 95
Y3 12 19 4 8 6 114 163
Y4 21 33 4 14 11 182 265
Y5 36 58 5 24 19 287 429
Total 79 126 21 52 42 679 999
8.3.1
Le march de lauthentification forte peut se dcomposer comme suit : consultations (confirmation didentit) et souscription (signature) des produits financiers. Peu pratique aujourdhui sur internet, par manque doutils fiables, la prise de contrat en ligne est amene croitre pour des produits packags ne ncessitant pas lintervention dun conseiller financier (CODEVI, Livret A, PEL.)
Consultations
March de lauthentification forte et signature pour la banque de rseau
Les limites aux fonctions de eBanking militent en faveur de procds dauthentification forte; une alternative sduisante au fastidieux identifiant / mot de passe devant tre rgulirement chang. Partant de notre hypothse 6 centimes deuros pour un accs scuris -, le march adressable de la consultation en ligne reprsentera en Anne 5 prs de 40 millions sur la base dun accs 327 hebdomadaire328. Un montant fort modique, qui porte sur une simple connexion sans prendre en compte les possibilits offertes, une fois le eBanking scuris, notamment la dmatrialisation des traitements scripturaux (TIP, Chques, virements).
Souscription des produits financiers
Sur la base du cot de traitement de lidentit 10 euros et dune souscription tous les deux ans des produits financiers, le march de la prise de contrats sur internet reprsenterait presque 60 millions deuros en Anne 5. Mais nous anticipons que la vente de produits packags se gnralisera pour atteindre un CA
71% des europens accdent leur compte en banque sur une base mensuelle ou hebdomadaire. Nous privilgions la base hebdomadaire, vu limportance des comptes professionnels. 328 Nous prenons comme hypothse les 74,4 millions de comptes vue (particuliers et professionnels) rpertoris en 2008, sachant que les comptes professionnels sont davantage consults que les comptes de particuliers (mouvement de trsorerie, produits financiers) .
327
_________________________________________________________________________________________________________________
103/ 133
plus consquent. Ce montant modique se justifie par lusage courant de ngocier actuellement ce type de contrats auprs de conseillers financiers, plutt que dy souscrire sur le net.
8.3.2 March de lauthentification forte et signature pour la banque en ligne
La banque en ligne, par ncessit de dmatrialisation de bout en bout, constitue galement un secteur prometteur ; dautant plus que linternaute a un profil boursicoteur qui accde rgulirement son compte et procde frquemment des transactions, vu la modicit des frais. Comme pour la banque de rseau, seul le dtenteur de certificats pourrait, lavenir, prtendre des fonctions volues virement, achat / vente de valeurs, sans limitation de montant -, lidentifiant / mot de passe ne donnant accs qu des oprations limites. Nous prvoyons deux consultations hebdomadaires - taux prudent et vraisemblablement en dessous de la ralit - vu lusage croissant des smartphones et tablettes chez les CSP+. Comme pour la banque en ligne, le march de lauthentification forte se dcompose en enrlement (contrle des pices didentit, signature de contrats), consultations (confirmation didentit) et souscription de produits financiers (confirmation didentit et signature de contrats). Nous estimons quun tiers des 5 millions de comptes ouverts annuellement pourraient se porter sur la banque en ligne ; des nouveaux clients qui se rajouteront aux 2 millions de comptes existants329. Comme mentionn prcdemment, le contrle didentit est valu 10 euros, lauthentification forte, 6 centimes deuros.
8.3.3 La dmatrialisation des titres scripturaux
eMandate, chques, TIPS, virements en ligne devront constituer les nouvelles fonctions du eBanking, trs attendues des particuliers, quil sagisse de la banque de rseau ou de la banque en ligne. Nous proposons des hypothses prudentes sur la base de deux virements mensuels, soit 24 paiements par an330, un rythme sans doute infrieur la ralit, vu les multiples rglements oprs par les particuliers : assurances, syndics dimmeuble, tlcoms, lectricit, taxes, scolarits, etc. Cette procdure est plus complexe quune authentification forte, dans la mesure o elle ncessite les tapes suivantes:
Accs scuris au compte Mise en relation avec la banque du bnficiaire Attestation par signature du consentement
Une succession doprations que nous valuons 1 euro, sur la base du cot moyen de traitement dun chque par les banques ; sans compter que les frais de courrier seront conomiss aux particuliers. La dmatrialisation des titres scripturaux reprsente une facilit pour les internautes qui pourront honorer leurs crances directement, notamment gnrer lIBAN dun bnficiaire sans formalits pralables ; cette dmarche ntant possible aujourdhui que pour des virements rguliers et des comptes rpertoris lavance.
Actuellement 17% des clients en ligne souscrivent des produits financiers. Nous anticipons une progression, considrant que les banques vont opter pour des produits de plus en plus packags : livrets, PELNotre estimation se base sur une souscription toutes les deux ans. 330 Le rapport Edgar Dunn sur le chque totalise 51 chques en moyenne par an. Mais il nous semble que ce chiffre corresponde un couple et non un individu isol.
329
_________________________________________________________________________________________________________________
104/ 133
La dmatrialisation des titres scripturaux reprsente lun des grands enjeux de leBanking. Le particulier devrait pouvoir se passer de chques, mandats, TIPs. ..et procder des virements en gnrant lIBAN du bnficiaire partir du eBanking scuris et en attestant de son consentement par une signature lectronique.
8.3.4
Potentiel de la banque pour les certificats
Au bout de cinq ans, ce march adressable rseau, banque en ligne dpasse les 400 millions deuros. Quelle peut tre la stratgie des tablissements financiers ? Investir dans les infrastructures base de certificats de faon gagner en productivit et adresser dautres secteurs ? Nouer des accords avec des IDP pour une meilleure rentabilit de leurs services ? Difficile de rpondre ce stade, mais ladhsion un Cercle de Confiance permettra au banques de se situer la fois comme IDP, fournisseurs didentit, et SP, fournisseurs de services (crdit, produits financiers, etc). La procdure tant dj bien rde pour les cartes de crdit : attribues par ltablissement du dtenteur, elles permettent de retirer de largent auprs de tous distributeurs suivant un mcanisme dinterchange convenu entre les banques, y compris linternational.
_________________________________________________________________________________________________________________
105/ 133
8.4
Les achats en ligne

55% 15% 10 0,06 2 85%
% Acheteurs en ligne / population franaise % Acheteurs en ligne sans carte de crdit Nombre d'achats / an Autorisation d'achat en ligne () Autorisation de dbit bancaire en ligne () % Acheteurs en ligne avec carte de crdit
8.4.1
Concernant lapport de certificats, le commerce sur internet ne constitue un secteur porteur que par cette fraction dacheteurs sans cartes de crdit, environ 15%, qui reprsentent un CA de 4,5 milliards (sur 30 milliards). Par ailleurs, rappelons que la moiti des engagements de paiements sans carte ne parviennent pas : courrier mal libell, compte non approvisionn, chque invalide, rtractation. . Ces internautes reprsentent donc un manque gagner , dautant plus que moult vendeurs sur les sites denchres refusent les services de Visa, Paypal, etcvu le pourcentage des commissions. Seule solution, mais qui exige une authentification forte : laccs, depuis le site de vente, au compte bancaire de linternaute, puis du bnficiaire suivant une procdure scurise qui devra confirmer lautorisation de dbit. Evaluons-la forfaitairement 2 euros, bien moins que le pourcentage perus par les Paypal et cartes de crdit sur les transactions en ligne. De plus, lauthentification forte vitera la rpudiation ventuelle de la transaction. Totalisant 21 millions au bout de 5 ans, ce secteur ne constitue pas rellement un march attractif, preuve que le paiement en ligne nest pas laxe privilgi des certificats, au contraire de la vrification didentit et la signature de contrats. Toutefois on peut anticiper que nombre de vendeurs pourraient encourager cette forme de paiement pour viter les frais perus par les circuits traditionnels (Visas, MasterCard, Paypal). Dans ce cas, le faible pourcentage (15%) dachats sans carte pourrait fortement grimper et reprsenter un march consquent, vu lessor de la vente en ligne. Dernier levier de croissance, ces 50% de promesses de paiements non aboutis ; mme en excluant les rtractations lgitimes -, le eBanking permettrait de rcuprer une partie de chques mal libells ou courriers non parvenus.
Million () Achats en ligne
Dbit bancaire Non rpudiation Total achats en ligne
Autorisation de dbit bancaire
Y1 2 0 2
Y2 4 1 5
Y3 7 1 8
Y4 12 2 14
Y5 21 4 25
Total 46 8 54
8.4.2
La rpudiation des achats constitue un prjudice pour les acteurs du paiement en ligne comme Paypal, MasterCard, Visa (85% des transactions) Le relatif chec de 3D Secure sur SMS justifie quon sinterroge sur lopportunit de procdures base de certificats. Lactivation pouvant soprer deux niveaux : soit par le navigateur - cl USB, carte connecte au PC, logiciel ? - soit par une procdure bicanale avec certificat de portable. Le cot de cette transaction devant tre infrieur 7 centimes deuros, montant factur aux banques pour 3DS. Le total, bien modeste, de 8 millions dmontre amplement que lauthentification forte sur internet ne vise pas le paiement. Ce montant est toutefois amen croitre pour deux raisons : le dynamisme (40%) du commerce sur la toile, dune part, mais, surtout, un souci de scuriser les transactions transfrontires, qui reprsentent le pourcentage le plus lev de fraudes, vu limpossibilit dtablir des mcanismes de scoring cette chelle.
Non-rpudiation des achats
_________________________________________________________________________________________________________________
106/ 133
8.5
Le crdit la consommation
85% 30% 60% 20% 1,00 4 10 2
% Acheteurs en ligne avec carte de crdit % de dtenteurs de certificats pour crdits B2C % de dtenteurs de certificats pour Crdits B2B2C % dtenteurs de certificats pour revolving Authentification forte revolving () Nombre d'accs / an revolving Souscription crdit () Nombre de demandes / an
Comme la Directive sur le Crdit la Consommation (DCC) - Loi Lagarde en France - obligera les financeurs proposer un crdit amortissable, les offres en ligne vont connaitre un vif succs si des certificats simplifient la procdure de souscription. A titre dexemple, le paiement en trois mensualits constitue un produit dappel qui sduira tant les internautes aiss que les emprunteurs habituels. Ainsi un de nos tablissements de crdit anticipe-t-il une croissance de ses encours de 20 800 millions pour des financements attachs un bien (B2B2C) ds que des certificats sont disponibles. Nous anticipons deux demandes par an, considrant que les usagers achteront des quipements de plus en plus couteux (lectromnager, hi-fi) en faisant appel des crdits ou paiements tals, une fois automatise la prise de contrat en ligne. Le montant du march adressable - prs de 200 millions en cinquime anne constitue lun des plus gros potentiels pour des certificats, dautant plus que la vente sur internet continue sa croissance un rythme de 40% lan. Concernant le crdit non attach un bien, B2C, march moins tributaire de limmdiatet, la progression vient surtout de la conqute de nouveaux clients, difficile formaliser en ligne ; seuls les emprunteurs dj en compte pouvant en bnficier aujourdhui. Ce march (contrle de cohrence des pices didentit et signature dun contrat : 10 euros) reprsentera quelques 75 millions en Anne 5, avec une croissance de 10% lan.
Million () Crdit consommation B2C B2BC Revolving Total crdit Y1 8 15 1 24 Y2 15 38 2 55 Y3 26 67 4 97 Y4 45 115 6 166 Y5 75 198 10 283 Total 169 434 23 625
La Commission Europenne, via la Directive sur le Crdit (DCC), entend homogniser les modalits de financement mais galement faire jouer la concurrence entre les tablissements. Mais encore faut-il que des rgles communes puissent sappliquer pour lauthentification des usagers sur internet. Le programme STORK devrait fournir des lments concrets en ce sens. Chiffres et taux proposs tiennent compte du march comme de la monte en puissance des smartphones qui vont dynamiser les achats sur la toile, et par consquence, les demandes de crdit. Linternaute pouvant procder une demande depuis sa tablette, en activant des certificats dauthentification et de signature.
_________________________________________________________________________________________________________________
107/ 133
8.6
Les jeux en ligne

20% 7 1 4 2,5
% de dtenteurs de certificats pour jeux en ligne Enrlement pour jeux en ligne () Accs compte bancaire pour jeux en ligne () Nombre d'accs compte bancaire / an pour jeux en ligne Nombre d'enrlement / joueur
Bien que la rgulation des jeux en ligne soit rcente, lauthentification forte peut tre envisage lors des phases suivantes :
Enrlement dans le cadre de la rvision de la loi fin 2011 ; lARJEL nexcluant pas un dossier lectronique. Nous valuons quelques 7 euros le traitement de lidentit et du formulaire sign331. Accs au compte bancaire pour augmenter sa mise de jeu ou rcuprer un gain.
Lenrlement ne constitue pas un march important, compar la banque et au crdit. Mais, comme pour la vente en ligne, laccs, depuis le site, son compte bancaire pourra reprsenter un montant plus consquent si les jeux en ligne gagnent en popularit. Bien que ce montant soit modeste, on anticipe que nombre de sites en ligne pourraient, de faon scurise, faire appel au compte bancaire de linternaute, comme une alternative aux paiements par carte.
Million () Jeux en ligne
Enrlement Accs compte bancaire Total jeux en ligne
Y1 4 1 5
Y2 4 2 6
Y3 7 3 11
Y4 12 6 18
Y5 21 10 32
Total 49 22 72
8.7
Location de voitures
15,00% 1 10
% de dtenteurs de certificats pour location de voitures Nombre de location annuelle Location en ligne ()
Si lon value 7,6 millions332 les locations annuelles, un volume en croissance, suggrons que 10% des dmarches pourraient tre ralises en ligne, ce secteur ntant pas rellement un facteur dacceptation des certificats. Sur la base dun cot de traitement de 10 euros par dossier identit, permis de conduire - , on totalise quelques 2 millions par an, revenu relativement modique mais qui pourrait tre dynamis par les projets de vhicules des municipalits. Quelles seront les modalits de location ? Comment contrler que le locataire dispose de ses points ? Une information qui nest pas accessible aux loueurs aujourdhui ! Ne serait-ce pas une piste investiguer ? Dautant que les municipalits pourraient tendre leur offre des dplacements plus importants, non limits au primtre de la ville et demander une confirmation didentit, pour viter fraudes ou vols de vhicules.
Million ()
Location vhicules Signature contrats
Y1
2
Y2
2
Y3
2
Y4
2
Y5
2
Total
10
8.8 Officiers publics et ministriels Les officiers publics et ministriels ne constituent pas rellement un march pour la mise en uvre de certificats. Hormis le notaire qui contrle lidentit de son client pour chaque authentique, huissiers et greffiers des tribunaux de commerce se contentent dune simple copie du titre, sans procder son contrle ou a une confirmation.
Nous nous basons sur 3 Euros, le prix moyen propos pour la frappe dune page. Lenrlement pour les jeux en ligne ncessitant la saisie dinformations provenant de multiples documents : CNI, quittances, etc. 332 http://www.location-de-voiture.org/
331
_________________________________________________________________________________________________________________
108/ 133
8.8.1
Greffiers des tribunaux de commerce
Concernant les greffiers des tribunaux de commerce, ltat nentend pas, ce jour, contrler lidentit des entrepreneurs - 283, 487 immatriculations, 228,656 radiations pour le RCS 2009 ; idem pour les modifications statutaires.
Toutes ces oprations peuvent tre opres en ligne aujourdhui ; bien que la copie dune CNI soit obligatoire, ni le titre, ni son intgrit ne sont contrls. Il nest pas mme question dinterroger le fichier STIC333 de faon dtecter des personnes interdites de gestion ou susceptibles de malveillances. La situation des auto-entrepreneurs est identique (environ 500,000 par an) ; leurs donnes dtat civil ne sont pas contrles lors de la cration de cette activit.
8.8.2 Les notaires
Vu leur obligation de contrler les pices, les notaires sont les plus gros clients des registres de mairies qui leur dlivrent chaque anne plus de 16 millions de fiches dtat civil ; un cot interne chiffr 5 euros par demande mais qui permet dactualiser un attribut fondamental comme la jouissance des facults civiques, notamment une ventuelle mise sous tutelle. Il nest donc pas question pour les particuliers de produire eux-mmes leurs titres didentit en ligne, le notaire oprant cette dmarche pour leurs comptes. Par contre, les notaires se proccupent aujourdhui de la cration dun espace scuris pouvant accueillir les pices dun dossier: documents dhypothque, titres de proprit, courriers de syndic, justificatifs de succession sachant que 5 millions dactes authentiques sont rdigs chaque anne. Vu leur position privilgie vis--vis de lidentit, on peut anticiper quils dfiniront eux mme la procdure daccs par des certificats dauthentification remis leurs clients. Ils disposent donc dun march intrieur important leur permettant de rebondir sur dautres secteurs.
8.8.3 Les huissiers
Comme mentionn prcdemment, les huissiers se contentent dune copie de CNI, sans contrle de son authenticit. Par ailleurs, les tudes, souvent de dimension modeste, ne disposent pas dune infrastructure informatique permettant de contrler ces donnes. Mais il pourrait tre envisag, lavenir, la mutualisation dune infrastructure entre intervenants, de mme que la cration dun espace scuris de transmission de pices pour linstruction dun dossier, limage des notaires.
Le STIC (Systme de Traitement des Infractions Constates) est une base de donne interconnectant les fichiers policiers et rpertoriant toute personne ayant t concerne par une procdure judiciaire (crimes, dlits et contraventions diverses et varies), qu'elle soit mise en cause ou bien... victime, et quand bien mme le mis en examen est blanchi. Cr par la loi n 95-73 du 21 janvier 1995, le STIC entre en activit officielle sans ses dcrets d'application. Au 1er janvier 1997, il comportait les noms de 2,5 millions prvenus, 2,7 millions de victimes, portant sur 5 millions de procdures et 6,3 millions infractions. Certaines donnes remontent 1965. (Source: SGP, syndicat majoritaire des gardiens de la paix).
333
_________________________________________________________________________________________________________________
109/ 133
8.9 Recommands et courriers valeur probante La Poste enregistre un CA d'un milliard d'euros grce quelques 200 millions de recommands par an un service standard sans vrification de lidentit des parties ni archivage du contenu pour un cot moyen de 3 euros pour des courriers infrieurs 20g. Une offre enrichie authentification des parties, archivage valeur probante, horodatage pourrait aisment tre facture le double. Par contre, il nest pas excessif de prvoir, lavenir, une hausse des envois valeur probante, dans la mesure o le courrier traditionnel sera remplac par des mails.
Nb de recommand par personne / an mission Nb de recommand par personne / an rception % de dtenteurs de certificats pour recommands Courrier valeur probante , mission () Courrier valeur probante , rception () 2 2 75% 3 3
Notre valuation se base sur 2 envois par adulte (50 millions), mais galement 2 courriers en rception. ; supposant que notre internaute opte pour une solution internet vis--vis de correspondants dont le recommand constitue une obligation, syndic ou socits dont il est actionnaire. Concernant le pourcentage de dtenteurs de certificats en Anne 1 utilisant les recommands lectroniques, supposons quil soit de 75% de notre cible dcrite en 8.2 ; en effet, nos internautes, ayant opt pour lactivation de certificats sont des familiers du web, connects rgulirement leur eBanking et qui saisissent le gain de temps du courrier lectronique valeur probante. Sur ces bases, il nest pas tonnant que ce march dpasse les 100 millions en Anne 5, donc la moiti du revenu actuel de la Poste pour ses recommands. Nous sommes dans le cas dune offre de substitution, mais qui risque dtre dynamise par le web et les certificats, le potentiel devant dpasser les 200 millions ds la sixime anne
Million () Poste
Recommands mission Recommands rception Total recommands
Y1 6 6 11
Y2 12 12 24
Y3 21 21 41
Y4 34 34 68
Y5 55 55 110
Total 127 127 254
_________________________________________________________________________________________________________________
110/ 133
8.10
Les assurances
1,3 90% 2 10 8% 3,00% 80% 10 5
Y3 10 4 7 13 34 69 Y4 17 7 8 22 58 112 Y5 29 12 8 38 99 186 Total 66 26 37 84 217 430
Nombre de contrats assurances / personne % de dtenteurs de certificats pour assurances Reconduction de contrat () Souscription de contrats assurance Pro-rata nouveaux contrats souscrits en ligne Nombre de contrats assurance vie / population franaise croissance /an % de dtenteurs de certificats pour assurances-vie Souscription de contrats assurance vie () Souscription assurance emprunteur
Million () Assurances Y1 3 1 7 4 8 22 Y2 6 2 7 8 19 42
Reconduction contrats Souscription nouveaux contrats Assurances vie Assurance emprunt B2C Assurance emprunt B2BC Total assurances
Les assurances ne sont pas tributaires dun contexte rglementaire qui exige le contrle didentit pour toute souscription. Par contre, la profession sinterroge sur la ncessit dvoluer, notamment de proposer un mode web une clientle jeune et aguerrie aux rseaux sociaux. Comme mentionn, la Loi Chatel devrait permettre de reconduire son contrat en procdant au paiement par eBanking et ainsi viter chques ou TIPs. Partant dhypothses prudentes : 1,3 contrat par personne, avec un taux de pntration de certificats de 60% - notre internaute est un pro de linternet et un cot unitaire de 2 euros (authentification forte, mise en relation avec la banque du bnficiaire, virement avec attestation du consentement), nous obtenons un potentiel denviron 30 millions en cinquime anne. Un march trs modeste au regard de la banque. Mais rptons le, la majorit des contrats sont encore souscrits auprs des agents, les sites internet servant essentiellement comparer les prix. Labsence de contrle fort didentit explique galement ce march quelque peu dcevant. Par contre, on ne peut ngliger la possibilit prochaine de souscriptions par internet, vu la guerre des prix sur les contrats packags : assurances MRH et automobiles. Le choix se dterminant 10 euros prs, la souscription en ligne permettra de faire lconomie dun conseiller. Partant dun taux de 8% de nos dtenteurs de certificats en anne 1, cette activit reprsenterait une dizaine de millions en anne 5. Un chiffre fort modique, mais amen croitre vu la concurrence sur les prix. Ce sont essentiellement les activits financires qui vont drainer les besoins dauthentification forte. Les assurancesvie, produit phare des classes aises, commencent tre souscrites en ligne comme nous le remarquions dans notre tude de 2007334 En effet, les perspectives de croissance du secteur suivent lengouement des internautes pour le web. Ainsi lun des grands acteurs du domaine envisage-t-il un encours suprieur au milliard dEuros en 2010 en dmatrialisant sa gestion de contrats dassurance vie. Deux autres tablissements totalisent prs dun demi-milliard d'encours en rduisant leurs droits dentre 0,5% au lieu des 3% perus gnralement sur les contrats dassurance vie. Un point non ngligeable dans la mesure o les montants ngocis sur le web atteignent 20,000 Euros contrairement aux 4,000 Euros contracts en moyenne par les courtiers ; ce qui confirme lattrait de populations averties et relativement aises, pour la banque en ligne . Environ 15 millions de nos concitoyens sont aujourdhui titulaires dun contrat dassurance vie, avec un taux de progression de 10% lan, soit 2% de la population franaise. Vu les perspectives accrues daccs des produits packags, gageons que 3% dinternautes souscriront en ligne une fois ce type doffre disponible. Si 60% disposent de certificats, le march dauthentification forte totalisera moins dune dizaine de millions deuros au bout de 5 ans.
Standarmedia. Afnor Paris 2007. Etude d'impact : la signature lectronique et les infrastructures cl publique dans le contexte de l'identit numrique : Quels usages pour les titres scuriss mis par l'tat dans le monde de l'conomie numrique ?
334
_________________________________________________________________________________________________________________
111/ 133
Lassurance crdit constitue galement un vecteur de croissance, grce la progression des achats en ligne (40%, lan) et des crdits attachs un bien (B2B2C). Bien quactuellement ce contrat soit dissoci de lOffre Pralable de Crdit, on peut anticiper que les internautes se voient bientt proposer une offre package financement / assurance une fois disponibles les certificats dauthentification et de signature. Sur la base des perspectives de crdits dtailles au 8.5, le march de lassurance pourrait totaliser environ 120 millions en anne 5 (B2C et B2B2C runis). 8.11 Vote lectronique des assembles cotes Faute doutil dauthentification forte, le vote lectronique nest pas encore propos aux actionnaires de socits cotes. Ce march potentiel reste encore limit ; le boursicoteur ayant davantage un souci de profits que de participer la stratgie des entreprises. Par ailleurs, ce type de vote ne justifie pas lacquisition de certificats par nos concitoyens. Sur la base de ces hypothses, supposons que nos dtenteurs de valeurs (15% de la population) soient quips hauteur de 1% de certificats. Leur vote en ligne reprsenterait un march de quelques millions en anne 5 ; un montant qui risque de croitre avec lusage des certificats, le pourcentage en Anne 1 ayant t volontairement minimis.
Nombre de contrats assurance vie / population franaise croissance /an % de dtenteurs de certificats pour assurances-vie Souscription de contrats assurance vie () Souscription assurance emprunteur
Million () Y1 Y2 Y3 Y4
3,00% 80% 10 5
Y5 Total
Vote lectronique
Socits cotes
8.12 Le travail temporaire Le travail temporaire reprsente un secteur particulirement attractif pour lauthentification en ligne, vu la ncessit de signer les contrats, par risque de les voir requalifis en CDI. Majoritairement pourvue de portables, la population vise constitue une cible idale pour les oprateurs tlphoniques ; le travailleur en dtachement pouvant ainsi valider son engagement par une signature de SIM.
% travailleurs temporaires / population franaise % de dtenteurs de certificats pour travail temporaire Contrat de travail temporaire () Nb de contrats / an 2,5% 50% 5 4
Le volume du travail temporaire reprsente 2,5% de la population active salarie, comparer un taux moyen d'utilisation du CDD de 5%. 1000 entreprises de travail temporaire (ETT) ont ainsi dvelopp un maillage de 6 300 agences de proximit pour les salaris en recherche d'emploi. En 2004, ces entreprises ont gr 560 000 emplois quivalents plein temps (Statistiques INSEE, voir tableau ci-dessous). Compte tenu de la dure moyenne des missions et de la rotation du personnel, ce sont plus 2 millions de salaris qui ont ainsi t concerns pour une moyenne de 4 emplois par individu.
Statistiques INSEE
Prenant lhypothse que seulement la moiti de cette population dispose de certificats en Anne 1 (1,25%), ces contrats de ligne pourraient gnrer une dizaine de millions par an. Un chiffre encore assez modique,
_________________________________________________________________________________________________________________
112/ 133
mais qui risque de croitre, si les employeurs rendent obligatoire lusage des certificats pour leur personnel temporaire, par souci defficacit et de conformit la loi.
Million () Y1 Y2 Y3 Y4 Y5 Total
Travail temporaire
Prise de contrat
13
13
14
14
15
69
8.13
8.13.1
Le modle financier
Rpartition par catgorie de certificats
Nos hypothses se veulent prudentes et soucieuses de prfigurer le comportement des consommateurs : quel mode dauthentification pour quel service ? Si, dans un premier temps, lusager se sent plus laise avec un certificat de banque pour des activits financires et des oprations connexes comme la souscription de crdit, on anticipe que linteroprabilit constituera un facteur de succs. En effet, on imagine mal notre internaute changeant de certificats voire de support (carte, cl USB, SIM ?) en fonction du service, moins que cette opration ne soit ralise par des outils logiciels, lusager nayant plus qu cliquer pour attester de son consentement.
8.13.2 Enrlement versus authentification
Les premires annes, les certificats sur PC nous semblent bien adapts des oprations denrlement (souscription), vu la ncessit de scanner des justificatifs - quittances, bulletins de salaires, attestations dIR jusqu ce que les usagers ralisent le potentiel des coffres-forts lectroniques. En effet le PC domicile, par son confort et la quitude de lusager, permet de comparer les offres, lire attentivement les contrats, les remplir et les signer pour transmission en ligne. Evalue environ 10 euros hors frais de conqute et marketing la vrification des donnes didentit et de leur cohrence avec les contrats est une opration effectue manuellement aujourdhui qui permet de quantifier le march adressable. Autrement dit, le dploiement dinfrastructures cls publiques permettant de sauthentifier et de signer en ligne est-il comptitif par rapport au cot humain dont nous valuons les montants ci-dessus ? Cest prcisment ce mcanisme denrlement qui gnrera le plus de revenus car il vise remplacer une tche couteuse, mais indispensable aux juristes qui souhaitent disposer dun dossier de preuves, opposable en cas de litige. Ils sont actuellement dans lattente de solutions informatiques qui puissent garantir un niveau quivalent de lgitimit aux dossiers papiers . Compar lenrlement, lauthentification, que les prestataires en ligne ne rmunreront pas plus de 6 centimes deuros, gnrera des revenus plus faibles. Bien quon se connecte de multiples fois, cest lactivit amont qui sera la plus rmunratrice pour les IDP, vu la ncessit denrlement pralable. Autre source de revenus, la signature des contrats, qui ncessitent aujourdhui des contrles manuels : cohrence des donnes, libell du patronyme, date de naissance, adresse exacte, etc.. Moult informations qui attestent de lengagement dun individu. Lenrlement un service, comme la souscription de contrats, reprsente la partie la plus rmunratrice dans la mesure ou elle remplace le contrle des pices didentit et leur cohrence avec un contrat soumis en ligne ou par voie postale. Quoique linternaute se connecte frquemment, le mcanisme dauthentification est moins rmunrateur. Il consiste comparer les attributs soumis en ligne avec ceux stocks lors de lenrlement.
Millions () Total enrlement Total authentification Total services en ligne Y1 130 10 140 Y2 238 18 256 Y3 388 32 419 Y4 620 55 675 Y5 1 004 95 1 099 Total 2 380 209 2 590
_________________________________________________________________________________________________________________
113/ 133
Bien que le PC paraisse aujourdhui loutil idal denrlement et de fourniture en ligne de justificatifs, on ne peut sous-estimer lessor des tablettes qui faciliteront les usages en mobilit, vu leur confort de lecture. En effet, on anticipe que nos internautes se connecteront lors de dplacements en TGV, Thalys, Eurostar. : achats, prise de crdit, assurance, eBanking, grce des certificats embarqus. Le remplacement de la moiti du parc de mobiles (plus de 20 millions dappareils /an) constituant une opportunit pour les oprateurs. Lusage de certificats favorisera galement le recours aux coffres-forts lectroniques, grce un accs scuris. Les procdures denrlement, opres dans un premier temps par PC, seront donc ralises sur tablettes, lusager pouvant sauthentifier et signer en ligne, tout en joignant les justificatifs RIB, attestation dIR, bulletins de salaires tlchargs distance, en mobilit, voire en avion, linternet tant maintenant accessible sur longs courriers335. Les oprations connexes la banque constitueront le poids lourds de lauthentification forte. Il est donc essentiel que les tablissements financiers saccordent sur des stratgies communes avec les oprateurs tlphoniques de faon garantir les accs en ligne tant par PC que par portables ; sans oublier le potentiel de la procdure bi-canale, qui permettra de sauthentifier par mobile, sans quipement additionnel. Interoprabilit ou mise disposition de certificats bancaires dans les cartes SIM ? Diffrents modes opratoires et modles financiers sont envisageables, mais les deux secteurs devront trouver des modes de partenariat de faon favoriser lusage des certificats.
8.13.3
Cinq annes aprs la mise en uvre de certificats, les grandes tendances commencent se dessiner. Considr comme un portail, leBanking donnera accs une gamme de services scuriss : dmatrialisation des titres scripturaux, - en remplacement des chques, TIPs, virements et mandats transactions non plafonnes de valeurs mobilires . Des oprations en ligne qui justifient une authentification forte et constituent le plus fort potentiel en termes de march pour des infrastructures base de certificats.
Millions () Total banques Achat en ligne Crdit Consommation Jeux en ligne Location de vhicules Notaires Recommands Assurances Vote lectronique Socits cotes Travail temporaire Total consolid Y5 429 25 283 32 2 15 110 186 2 15 1 099
Les secteurs porteurs
Le crdit la consommation, et ses produits drivs comme lassurance crdit, apparaissent galement comme des secteurs majeurs - parce que loffre est package, tire par la croissance de la vente sur internet - et quelle ne ncessite pas de conseillers. Ainsi le paiement diffr, ou en trois versements, connatra-t-il une forte closion, une fois les juristes acquis la prise de contrat en ligne, opration qui pourra seffectuer en quelques clics. Atteignant un revenu de prs de 300 millions en Anne 5, tous tablissements confondus, quil sagisse de financements de biens ou non, ce montant reprsente environ 3% dun total dencours valu plus de 15 milliards.
335
Service OnAir, Joint Venture Airbus SITA
_________________________________________________________________________________________________________________
114/ 133
La banque constitue le poids lourd des infrastructures base de certificats. En parallle du eBanking, qui permet daccder aux comptes de faon scurise, cest la dmatrialisation des titres scripturaux qui reprsente le plus gros march. Un domaine connexe la banque, comme le crdit la consommation, constitue galement un potentiel important, vu les difficults de souscrire un contrat en ligne.
Million () Revenus Banques de rseau
Y1
4 6 4 2 2 30 47 2 0 2 8 15 1 24 4 1 5 2 12 0 12 6 6 11 3 1 7 4 8 22 2 13 140
Y2
7 11 4 4 4 66 95 4 1 5 15 38 2 55 4 2 6 2 13 0 13 12 12 24 6 2 7 8 19 42 2 13 256
Y3
12 19 4 8 6 114 163 7 1 8 26 67 4 97 7 3 11 2 13 0 14 21 21 41 10 4 7 13 34 69 2 14 419
Y4
21 33 4 14 11 182 265 12 2 14 45 115 6 166 12 6 18 2 14 0 14 34 34 68 17 7 8 22 58 112 2 14 675
Y5
36 58 5 24 19 287 429 21 4 25 75 198 10 283 21 10 32 2 15 0 15 55 55 110 29 12 8 38 99 186 2 15 1 099
Authent forte banque de rseau Contractualisation banque rseau Banque en ligne Enrlement banque en ligne Authent. Forte banque en ligne Contractualisation banque en ligne Toutes banques Titres scripturaux Total banques Achats en ligne Dbit bancaire Non rpudiation Total achats en ligne Crdit consommation B2C B2BC Revolving Total crdit Jeux en ligne Enrlement Accs compte bancaire Total jeux en ligne Location vhicules Signature contrats Notaires Espace scuris Communication pices Total notaires Poste Recommands mission Recommands rception Total recommands Assurances Reconduction contrats Souscription nouveaux contrats Assurances vie Assurance emprunt B2C Assurance emprunt B2BC Total assurances Vote lectronique Socits cotes Travail temporaire Prise de contrat Total
Les services publics sont absents de ce palmars, ltat nenvisageant pas de procder une authentification forte pour ses services en ligne336, et encore moins de rmunrer un prestataire (IDP) qui confirmerait lidentit. Cest vritablement le domaine du rgalien, o la CNIe acquiert toute sa lgitimit. Quoique, par application de lordonnance de 2005, ladministration lectronique devra accepter tous les outils rpondant au RGI et au RGS, et pas seulement la CNIe. Les assurances sont essentiellement tires par des produits packags, comme la couverture de crdit, les contrats traditionnels tant majoritairement souscrits par des conseillers en agence. Mais, vu la guerre des prix, on ne peut ngliger, moyen terme, lessor de la souscription en ligne pour des contrats standards de type assurance auto ou MRH. Remarquons galement quelques secteurs porteurs comme la lettre recommande lectronique, qui reprsentera en anne 6 le CA actuel de la Poste pour cette activit. On anticipe que de multiples acteurs vont se positionner sur des offres diffrenciantes : authentification des parties, horodatage, archivage des envois, transmission mixte lectronique / papier, etc Les quelques secteurs, qui totalisent moins de 100 M mritent une attention particulire. Tirs par une dynamique de loffre, ils risquent de susciter de nouveaux comportements - achats, jeux, - peut-tre diffrents de ceux observs aujourdhui et connatre des taux de croissance plus consquents que ceux proposs dans nos tableaux.
La DGME, sur la base du RGS, conduit une analyse de risques de faon dterminer le niveau de scurit requis par les services de lEtat, notamment identifier eux qui ncessiteraient la mise en uvre de mcanismes d'authentification forte.
336
_________________________________________________________________________________________________________________
115/ 133
8.13.4
Quelques scnarios extrmes
Les chiffres tentent de coller au mieux la ralit du march ; nos hypothses ne se veulent ni avantageuses, ni pessimistes dans la mesure o beaucoup de services sont murs mais souffrent aujourdhui dune faiblesse de lidentit en ligne. Cette position mdiane tient au fait que nous avons, chaque fois, pondr notre population dadeptes par des taux qui se veulent reflter la prudence des internautes. Mme si le certificat de CNIe est activ lors de la dlivrance du titre en mairie, linternaute ne lutilisera pas systmatiquement, dautant plus que les services en ligne nauront pas ncessairement modifi leurs modalits daccs en consquence. De faon tayer ce scnario mdian , il peut tre reprsentatif de moduler quelques paramtres et valuer leurs impacts. Un scnario pessimiste consisterait simplement baisser le taux de croissance envisag des certificats. En effet, partant dun pourcentage dadhsion particulirement faible en premire anne (25% dactivation pour la CNIe, 2,5% de certificats IDNUM), nous anticipons une campagne promotionnelle particulirement dynamique. Do une croissance ambitieuse, qui permet de totaliser 36 millions de certificats en Anne 5.
Scnario pessimiste
Le scnario pessimiste propos conserve les pourcentages dusagers pour chaque march identifi, mais se base sur un taux de croissance trs faible (1,1). Dans ce contexte, les certificats ne convainquent pas et le march reste quasiment atone entre lAnne 1 et lAnne 5. A peine 10 millions de certificats dlivrs en cinq ans. Mme les oprateurs tlphoniques nont pas su doper ce secteur prometteur, avec 2 millions de certificats alors que le parc des smartphones et tablettes totalise prs de vingt millions dunits ! Dans ce scnario pessimiste, les oprateurs ne parviennent pas convaincre les usagers de lintrt des certificats.
Anne Nombre de certificats Revenus () Y1 4 140 Y2 5 181 Y3 7 219 Y4 9 258 Y5 10 298
Tout juste 10 millions de certificats sont dlivrs en cinq ans ; donc des revenus potentiels qui ne dpassent pas les 300 millions cette chance.
Scnario optimiste
Le scnario optimiste utilise les mmes bases : mme population cible en premire anne. Par contre, anticipons une politique volontariste des banques visant encourager lusage de certificats en change de frais de gestion et de tenue de compte rduits et dun eBanking plus riche. Dans ce contexte, linternaute se montre motiv ; aussi le taux dusage des certificats pour chacun des secteurs cls devient-il consquent (banque en ligne, 70% ; dmatrialisation des titres scripturaux, 60% ; acheteurs en ligne optant pour le dbit bancaire, 30% ; crdits B2C, 50% ; crdits B2B2C, 70% ; joueurs en ligne, 40% ; contrats dassurance, 20%, etc). Grce un fort taux dadhsion des internautes, les montants confirment que certains secteurs cls, comme la finance, pourraient se positionnent comme des acteurs volontaristes aidant au succs des certificats. Des gains de productivit consquents seraient observs auprs de leurs services, tout en gnrant de nouveaux revenus en tant que fournisseurs didentit auprs de secteurs non-financiers. Bien que le volume de certificats en Anne 1 soit identique celui de notre hypothse mdiane, cest le taux dadhsion aux services qui permet de dynamiser ce march.
An Nombre de certificats Revenus () Y1 4 199 Y2 8 356 Y3 14 578 Y4 23 920 Y5 36 1 484
Dans ce contexte optimiste , le revenu potentiel pour les certificats atteint le milliard ds lAnne 4 et croit de 50% par an.
_________________________________________________________________________________________________________________
116/ 133
Dynamique de loffre vs substitution
Le tableau ci-dessus permet de distinguer les offres de substitution de celles qui vont dynamiser le march. La premire constituant lquivalent dmatrialis des procdures opres dans le monde rel. Dans ce cas, le recours aux certificats vise un gain de productivit, pas ncessairement des fonctions nouvelles ou une croissance du march. Beaucoup de secteurs sapparentent cette catgorie ; pas question de revenus supplmentaires, par contre, de substantielles conomies qui justifient limplmentation de solutions scurises. Cest le cas des notaires ; on ne signera pas plus dactes authentiques, une fois crs des espaces dchanges avec les particuliers.
_________________________________________________________________________________________________________________
117/ 133
Par contre, le couplage du web aux certificats contribuera dynamiser des marchs aujourdhui handicaps par labsence de solutions dauthentification forte. Cest le cas de secteurs suivants : courriers valeur probante, jeux en ligne, crdit B2B2C, banque en ligne, virements . des activits qui seront portes par lactivation de certificats. Concernant le crdit attach un bien, rappelons que les attentes des financeurs sont de 40 fois le montant des encours actuels337. 8.14 Les leviers de lauthentification forte La CNIe, qui na pas de connotation sectorielle, est considre positivement par lensemble des acteurs. Annonce maintes reprises, elle satisfait des domaines trs varis, soucieux didentifier de faon sure les internautes. Activ par code PIN, le certificat dauthentification permettra de se connecter aux services du secteur priv et de ltat. La banque constitue lun des acteurs privilgis de lauthentification forte, pas tant pour laccs aux comptes que par la possibilit de rebondir sur des activits connexes comme les virements dmatrialiss, le crdit ou les achats en ligne. Un co-systme de plusieurs centaines de millions deuros pour les oprateurs de certificats, qui reprsente 50% du potentiel adressable. Un march domestique consquent qui devrait inciter les banques proposer rapidement des applications pilotes. Comme les offres de crdit en ligne constituent galement un puissant moteur de ce march, il devrait tre possible de dterminer des synergies entre comptes bancaires et demandes de financement. Lconomie numrique attend son acteur lourd de lauthentification forte pouvant rapidement dynamiser le march. Pas question ici dune situation de type duf et poule dans la mesure o de nombreuses applications proposent dj des services en ligne minima faute didentit intersectorielle qui permette de scuriser les transactions : eBanking, eAssurance, mdecine, tlprocdures quil sagisse de gains de productivit ou de conqute de marchs. . Les pages prcdentes confirment un point fondamental : les multiples offres de service disponibles sur le web connaissent une phase de stagnation faute doutils dauthentification : le eBanking est peine plus volu quun service Minitel, alors que le dtenteur de compte devrait tre en mesure de dmatrialiser ses paiements ou effectuer des virements depuis son PC ; le crdit attach un bien (B2B2C) maintes fois mentionn constitue le parent pauvre des financeurs, alors les achats en ligne croissent de 40% lan. Banques, crdits et paiement en ligne doivent tre considrs comme un cosystme privilgi, un march intrieur , pouvant justifier le dploiement dinfrastructures cls publiques dans la mesure o les mmes acteurs sont impliqus. Autre point essentiel, la banque se situe la convergence dactivits prives et professionnelles ; dans un cas, linternaute agit en tant que personne morale pour des mouvements de trsorerie, dans lautre, cest un individu priv qui opre pour ses besoins propres. Mais quelque soit le contexte, lauthentification et la traabilit de ses actions doivent pouvoir tre ralises par un outil dauthentification forte, qui peut tre identique, considrant que sa fonction de mandataire social est un attribut de son identit. Une question se pose, qui est lusager type de lauthentification forte ? A la lecture des histogrammes cidessus, la forte concentration dactivits autour de la banque privilgie un internaute soucieux doptimiser la gestion de ses comptes. Quil procde des virements, contracte un emprunt pour des facilits de trsorerie ou acquiert des biens ou services, cest un actif du web mais aujourdhui limit dans ses oprations en ligne. Pas de virement sans dclarer au pralable le destinataire, ni de contrats sans courriers recommands. Partant du fait que 71% des internautes se connectent rgulirement leurs comptes bancaires (Etude CREDOC), le dploiement dune infrastructure cls publiques autour de cet cosystme, mais avec une vocation intersectorielle, devrait permettre de facilement rebondir sur des secteurs connexes : contrats dassurances, courriers recommands valeur probante.
Un march denviron 60-80 millions qui devrait dpasser les 8 milliards, si une solution dauthentification forte permet dauthentifier le demandeur et constituer un dossier de preuves en cas de litige.
337
_________________________________________________________________________________________________________________
118/ 133
Bien que le secteur bancaire constitue une cible privilgie, on anticipe un positionnement majeur des acteurs de tlphonie mobile, vu lessor des tablettes, pour des accs scuriss en ligne. En effet, liPad et ses clones disposeront prochainement de certificats pour procder toutes oprations accessibles par PC aujourdhui. Certains oprateurs sont ouverts ouvrir leur carte SIM des secteurs tiers, une piste explorer sachant que les applications connexes la banque psent plus de la moiti de lauthentification forte. Restent prciser les modles de revenus entre parties. 8.15 Usages privs, usages professionnels La perspective pour les certificats dun march avoisinant le milliard cinq ans se base exclusivement sur des usages privs ; linternaute se connectant en ligne pour ses besoins propres et ceux de sa famille mais sans intgrer son contexte professionnel. Une orientation dlibre qui fait limpasse sur un potentiel considrable mais ncessiterait une tude part entire. Quels sont les besoins de dirigeants de PME et mme des grandes structures - vis--vis de services en ligne ? eBanking ? Gestion de trsorerie ? Virements aux fournisseurs ? Emission de factures horodatage probant ? Rponse des appels doffres ? Ces interrogations pourraient galement tre tendues toute activit professionnelle secteur public et priv -, les signataires autoriss pouvant utiliser des certificats individuels tout autant que des certificats dentreprises attachs leur fonction. Le parapheur lectronique devenant aujourdhui dun usage courant. Nous sommes la fois dans un contexte dintranet recueil de signatures habilites et dactivits vis-vis du monde extrieur : banques, fournisseurs, clients. qui ncessitent de clarifier son business model . Mais on peut anticiper que les relations avec les banques constitueront galement lun des leviers majeurs. A titre dexemple, 9/10 des titres scripturaux totaliss par la Banque de France sont gnrs par des entreprises ; do un potentiel trs significatif en termes de dmatrialisation sachant que les virements lectroniques constitueront dj lun des vecteurs de succs des certificats auprs des particuliers. Le march des certificats individuels en entreprise devra faire lobjet dune tude spcifique, les besoins diffrant fondamentalement de ceux des particuliers. Ici, point de prts la consommation, dassurances packages ou de banque en ligne les relations avec les fournisseurs privilgiant le face face et la ngociation. Par contre, de tout autres besoins : courriers recommands en mission et rception et, surtout, de multiples relations avec les administrations, mais qui nexigent pas de procdures dauthentification forte. Un march trs diffrent de celui des particuliers mais qui risque de quasiment doubler son potentiel en termes de revenus, vu les besoins important vis--vis dun eBanking scuris.
_________________________________________________________________________________________________________________
119/ 133
NORMES ET STANDARDS :
9.1 Directive et normes sur la signature lectronique La Directive 99/93 du Parlement Europen et du Conseil du 13 dcembre 1999 dfinit le cadre communautaire pour les signatures lectroniques. Rappel dans larticle 1er, son objectif est de : faciliter lutilisation des signatures lectroniques et de contribuer leur reconnaissance juridique. Elle institue un cadre pour les signatures et certains services de certification afin de garantir le bon fonctionnement du march intrieur . De plus Elle ne couvre pas les aspects lis la conclusion et la validit des contrats ou dautres obligations lgales lorsque des exigences dordre formel sont prescrites par la lgislation nationale ou communautaire ; elle ne porte pas non plus atteinte aux rgles et limites rgissant lutilisation de documents, qui figurent dans la lgislation nationale ou communautaire.
9.1.1 Transposition franaise338
La Directive 99/93 a t transpose dans la lgislation franaise en plusieurs tapes, notamment par les textes suivants : - la loi n2000-230 du 13 mars 2000 portant adaptation du droit de la preuve aux technologies de linformation et relative la signature lectronique, - la loi n2004-575 du 21 juin 2004 pour la confiance dans lconomie numrique, notamment son article 33 qui prcise le rgime de responsabilit des prestataires de services de certification lectronique dlivrant des certificats lectroniques qualifis, - la loi n2004-801 du 6 aot 2004 relative la protection des personnes physiques lgard des traitements de donnes caractre personnel et modifiant la loi n78-17 du 6 janvier 1978 relative linformatique, aux fichiers et aux liberts, qui transpose, dans son article 5 larticle 8 de la Directive, relatif la protection des donnes (nouvel article 33 dans la loi du 6 janvier 1978 modifie), - le dcret n2001-272 du 30 mars 2001, pris pour lapplication de larticle 1316-4 du code civil et relatif la signature lectronique, modifi par le dcret n2002-535 du 18 avril 2002, - le dcret n2002-535 du 18 avril 2002 relatif lvaluation et la certification de la scurit offerte par les produits et les systmes des technologies de linformation, - larrt du 26 juillet 2004 relatif la reconnaissance de la qualification des prestataires de services de certification lectronique et laccrditation des organismes qui procdent leur valuation.
9.1.2 Spcifications techniques339
Le document CWA 14169, publi par le CEN, prcise les profils de protection (prsents respectivement dans les annexes A, B et C) correspondant trois types de dispositifs de cration de signature lectronique :
- PP SSCD type 1 : lannexe A correspond au dispositif qui gnre les donnes de cration et de vrification de signature lectronique, - PP SSCD type 2 : lannexe B correspond au dispositif qui cre la signature lectronique partir des donnes de cration et des donnes signer, - PP SSCD type 3 : lannexe C regroupe les deux fonctions prcdentes : gnrer les donnes de cration et de vrification de signature lectronique et ainsi crer une signature partir des donnes de cration de signature et des donnes signer.
Lorsque les donnes de cration et de vrification de signature lectronique sont gnres par le prestataire du service de certification, le module cryptographique doit tre valu et certifi. La spcification technique CWA 14167-3 peut tre utilise cet effet. Des profils ou cibles de protection, autres que ceux dfinis sous lgide de lEESSI, peuvent tre utiliss, condition quils couvrent les exigences de la Directive et du dcret. En vue de lattribution du certificat de conformit, ils doivent tre accepts au pralable par lANSSI ou un organisme dsign cet effet par un tat membre de la Communaut europenne.
Secrtariat gnral de la dfense nationale. Direction centrale de la scurit des systmes dinformation. Sous-direction des oprations. Bureau conseil Signature lectronique. Point de situation. MEMENTO. Version 0.94. 25.08.04 339 Idem
338
_________________________________________________________________________________________________________________
120/ 133
9.1.3
Evaluation et certification
Pour bnficier de la prsomption de fiabilit du procd de signature lectronique, il est ncessaire, entre autres, que le dispositif de cration de signature soit certifi. Larticle 3.II du dcret 2001-272 du 30 mars 2001 en prcise les conditions conformment aux exigences de larticle 3.I en ces termes : Un dispositif scuris de cration de signature lectronique doit tre certifi conforme aux exigences dfinies au I :
1 Soit par le Premier ministre, dans les conditions prvues par le dcret n2002-535 du 18 avril 2002 relatif lvaluation et la certification de la scurit offerte par les produits et les systmes des technologies de linformation. La dlivrance du certificat est rendue publique ; 2 Soit par un organisme dsign cet effet par un tat membre de la Communaut europenne.
Le dcret n2002-535 du 18 avril 2002, relatif au schma d'valuation et de certification, a renforc les bases juridiques des modalits de certification qui reposaient jusqu'ici sur un avis du Premier ministre de 1995. Il complte galement le dcret de signature lectronique du 30 mars 2001, en fixant les rgles de certification des produits de scurit et notamment des dispositifs de cration de signature. En se plaant dans le cadre du dcret 2002-535, lvaluation du dispositif certifier doit avoir lieu dans un centre agr par lANSSI. Ces tablissements ralisent des valuations suivant des critres normaliss : les ITSEC (de moins en moins utiliss) ou la norme IS 15408 (aussi appele "Critres Communs" (CC)). Lvaluation permet de certifier la conformit dun dispositif une cible de scurit qui peut tre conforme un profil de protection. Lvaluation, pralable la dlivrance dun certificat de conformit au dcret, doit sappuyer sur une cible de scurit qui couvre compltement les exigences du dcret 2001-272 (article 3.I) et dont le niveau dassurance est acceptable en fonction de lenvironnement choisi. Pour couvrir les exigences de larticle 3.I du dcret nonces plus haut (Dfinition), un dispositif scuris de cration de signature lectronique complet doit assurer au minimum les fonctions suivantes:
La gnration des donnes de cration (cl secrte) et de vrification (cl publique) de signature lectronique, La cration de la signature lectronique.
Chacune de ces fonctions peut tre ralise par un module distinct et faire lobjet dun certificat de conformit. Les produits valus en vue dune attribution dun certificat de conformit au dcret devront par ailleurs tre soumis une analyse des mcanismes cryptographiques quils utilisent. Cette analyse est ralise par lANSSI. Lattribution du certificat de conformit pour le dispositif scuris de cration de signature lectronique fait lobjet dune procdure spcifique du schma franais de certification : SIGP- 01 Certification de conformit des dispositifs de cration de signature lectronique.doc
9.1.4 Publications des normes
La Commission Europenne, aprs avis du Comit article 9 mis en place par la Directive, a publi dans une dcision en date du 14 juillet 2003 des rfrences de normes sappliquant dune part aux dispositifs de cration de signature lectronique et, dautre part, aux modules cryptographiques utiliss par les prestataires de service de certification. Un produit valu et certifi conforme une norme rfrence dans la dcision de la Commission sera alors prsum conforme aux exigences de la Directive et du dcret correspondant :
Lannexe III de la Directive et larticle 3.I du dcret 2001-272 pour le dispositif de cration de signature lectronique : rfrencement du CWA 14169, Lannexe II.f de la Directive et larticle 6.II.g du dcret 2001-272 pour le module cryptographique utilis par le prestataire de service de certification : rfrencement des CWA 14167-1 et 1467-2.
_________________________________________________________________________________________________________________
121/ 133
9.2
Plan d'action en faveur de l'utilisation des signatures lectroniques dans le march unique340
Le 28 novembre 2008, la Commission Europenne proposait un Plan d'action en faveur de l'utilisation des signatures et de l'identification lectronique pour faciliter la fourniture de services publics transfrontaliers. Ill sinscrit dans le cadre de la stratgie de Lisbonne, par lequel l'UE s'engage amliorer l'environnement juridique et administratif ; administrations, entreprises et citoyens devant pouvoir communiquer en ligne. Une premire tape a t franchie grce la Directive sur les signatures lectroniques (99/93) qui tablit leur reconnaissance juridique et dfinit le cadre visant promouvoir leur interoprabilit. Depuis sa publication, plusieurs initiatives relatives au march intrieur prvoient que les entreprises puissent utiliser des moyens lectroniques pour communiquer avec les organismes publics, exercer leurs droits et mener des activits commerciales l'tranger. Maintenant, la Directive Services oblige les tats faciliter les procdures et formalits pour des prestataires situs distance, notamment leur identification transfrontalire et l'authentification des donnes communiques en ligne. L'objectif du Plan daction dcid en Novembre 2008 est donc dinstituer un cadre global d'interoprabilit des systmes de signature et d'identification lectroniques pour simplifier les communications transfrontalires entre citoyens et entreprises. Ce plan daction vise corriger les faiblesses de la Directive de 1999, notamment l'interoprabilit et la reconnaissance dune identit lectronique transfrontire ; deux points qui limitent leur utilisation entre pays341. Les tats Membres ayant reconnu l'importance de systmes identitaires interoprables et stant engags quentreprises et particuliers puissent bnficier de moyens lectroniques aux niveaux local, rgional ou national et conformes la rglementation sur la protection des donnes, pour s'identifier auprs des services publics de leur pays ou dun autre tat membre. La Commission entend simpliquer dans la mise en uvre de ce plan d'action, en troite collaboration avec les tats membres de faon garantir la cohrence des mesures, lharmonie rglementaire et la conduite de projets pilotes. Des actions qui sinscrivent dans le suivi du rexamen du march unique. Les tats membres ont donc t invits fournir la Commission toute information utile en vue d'assurer l'interoprabilit transfrontalire. 9.3
9.3.1
Rvision de la norme
Le contexte
Le 22 dcembre 2009, la Direction Gnrale Entreprises et Industrie, Politique de l'innovation Industries TIC pour la comptitivit et l'innovation de la Commission Europenne a confi le mandat (M460) sur les signatures lectroniques342aux organismes Europens de normalisation (CEN, CENELEC et ETSI). Le propos de ce mandat est de ractualiser le contenu de la Directive 1999/93/CE, de faon clarifier le cadre juridique de la signature lectronique pour les fournisseurs de services de certification au sein du march intrieur. L'tat actuel de la normalisation europenne sur la signature lectronique provient de l'EESSI, le "European Electronic Signature Standardization Initiative", cadre institutionnel destin coordonner les organismes europens de normalisation CEN et ETSI suite deux prcdents mandats attribus par la Commission.
340 Communication de la Commission au Conseil, au Parlement europen, Comit conomique et social europen et au Comit des rgions - Plan d'action en faveur de l'utilisation des signatures lectroniques et de l'identification lectronique pour faciliter la fourniture de services publics transfrontaliers dans le march unique /* COM/2008/0798 final */ http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2008:0798:FIN:FR:HTML 341 cet gard, le plan d'action i2010 pour l'e-gouvernement, adopt par la Commission europenne le 25 avril 2006, considre que les systmes interoprables de gestion de l'identification lectronique (e-ID) figurent parmi les lments cls de l'accs aux services publics 342 http://ec.europa.eu/information_society/policy/esignature/docs/standardisation/mandate/m460_fr.pdf
_________________________________________________________________________________________________________________
122/ 133
Grce la Dcision de la Commission 2003/511/EC, des normes pour les produits de signature lectronique ont dj t publies, conformment l'article 3 paragraphe 5 de la Directive. Cependant, suite des problmes de reconnaissance mutuelle et d'interoprabilit transfrontalire, la Commission a fait connaitre son intention de rsoudre les freins juridiques et techniques constats par de nouveaux travaux de normalisation. Le Plan dAction adopt en 2008 vise ainsi les actions suivantes : mettre jour ou largir le champ dapplication de la Dcision de la Commission 2003/511/CE343 tablir une liste des prestataires de services de certification qualifie, fournir des orientations et instructions pour la mise uvre de signatures lectroniques interoprables.
L'historique des travaux de normalisation
.
9.3.2
Les activits de l'EESSI ont t inities en 1999, sous la tutelle du CEN et de l'ETSI, conduisant la production de CEN Workshop Agreements (CWA) et de TS (Spcifications Techniques)344 sur une srie de sujets relatifs la signature lectronique. Ces travaux ont t clturs en octobre 2004, aprs leur publication. La table cicontre prcise le statut des livrables de normalisation europens sur la signature lectronique. Le Mandat M460 vise identifier les manques et proposer des actions correctives dans le cadre de la Directive Services. Ces rapports portent sur une srie de produits matriels et logiciels, voire certaines composantes, ainsi que les services dlivrs par les prestataires de certification : mission et gestion de certificats, rpertoires, validation de signature, horodatage, archivage ( long terme). Outre la normalisation europenne, le Plan dAction vise intgrer les normes internationales traitant de la signature lectronique, dont la plupart n'ont pas chang depuis que l'EESSI a dbut ses travaux, notamment les activits de lISO345. Enfin, plusieurs tats membres ont dvelopp leur cadre national de normalisation ; un lment prendre en compte dans le cadre de ces travaux.
2003/511/CE: Dcision de la Commission du 14 juillet 2003 relative la publication des numros de rfrence de normes gnralement admises pour les produits de signatures lectroniques conformment la directive 1999/93/CE du Parlement europen et du Conseil (Texte prsentant de l'intrt pour l'EEE) [notifie sous le numro C(2003) 2439] 344 Les spcifications techniques d'ETSI (TS) sont normatives et les rapports techniques d'ETSI (TR) sont informatifs. 345 Une liaison formelle a t tablie entre l'ETSI et l'ISO pour des activits concernant la signature lectronique. Le premier objectif de la liaison a t d'tablir la signature avance par PDF comme profil d'une TS de l'ETSI qui a abouti TS 102 778 partie. Les TS 102 778 parties 3 5 ont t soumis ISO comme amliorations recommandes par l'ETSI aux formats de signature PDF dans les normes ultrieures d'ISO 32000. Toutes les
343
_________________________________________________________________________________________________________________
123/ 133
Le schma ci-dessous prcise le cadre actuel de normalisation de la signature lectronique et des services 346 associs :
Fourniture des services de certification livrant des certificats qualifis et non- qualifis Secure Signature Creation Devices (SSCD) Produits relatifs la cration et/ou la vrification des signatures lectroniques Fourniture de certification/services autres que la dlivrance de certificats: o Services de support la signature lectronique: horodatage, production et validation de signatures, services d'archivage ( long terme) o Services utilisant la signature lectronique: courriers recommands et autres services identifier
9.3.3
Confi une structure bi-polaire CEN/ETSI, le mandat de la Commission porte tout dabord sur une analyse critique de la littrature relative aux travaux de normalisation sur la signature lectronique l'chelle europenne et mondiale. Ainsi, les tches suivantes seront-elles effectues dans une premire tape: Inventaire des normes sur la signature lectronique : par pays, au niveau europen et pour le reste du monde Dfinition dune classification approprie Identification du champ d'application des normes slectionnes Analyse des lacunes en normalisation pour des amliorations futures;
parties de TS 102 778 peuvent tre actuellement utilises conjointement avec ISO 32000-1 utilisant le mcanisme d'extensions de PDF mme avant qu'elles soient incluses directement dans la norme ISO 32000-2. 346 http://ec.europa.eu/information_society/policy/esignature/docs/standardisation/mandate/m460_fr.pdf
La description du mandat
_________________________________________________________________________________________________________________
124/ 133
dentification des actions conduire pour des amliorations court terme Mise jour de certains CWA : CWA 14169:2004, CWA 14167-1:2003, CWA 14167-2:2004 et CWA 14167-4:2004. La seconde tape comprend les tches suivantes: Dfinir un cadre europen de normalisation des signatures lectroniques et dinstruments juridiques appropris. Analyser la srie de normes connexes (mise en correspondance des exigences de la Directive Signature lectronique et des autres instruments juridiques applicables); Proposer des orientations et instructions pour l'interoprabilit transfrontalire par des normes appropries. Proposer des orientations sur la vrification de la conformit des produits, systmes ou services qui mettent en uvre les normes.
9.3.4 Modus operandi
Les instituts de normalisation sont actuellement en train de dfinir un mcanisme de coopration qui inclut les acteurs conomiques de faon parvenir rapidement un consensus dusagers ; la Commission ayant recommand une consultation trs large de faon parvenir rapidement des normes europennes (EN). Des CWA (CEN Workshop Agreement) ou TS (Technical Specifications) sont galement envisags mais la Commission leur prfre un statut "EN" de faon reflter un large consensus dtats Membres. Est galement recommande, une coopration internationale avec des organismes tels que l'ISO/IEC et l'UIT, ainsi qu'avec des institutions de linternet comme l'IETF, l'OASIS ou le W3C. Lobjectif tant de rpondre aux besoins du secteur conomique, mais sans ngliger la lgislation sur la protection des donnes (Directive 95/46, 97 /66). Pour rpondre ces exigences, les CEN, CENELEC et ETSI ont dtaill auprs de la Commission un programme de travail qui dtaille lchelonnement des travaux sur les 48 prochains mois. 9.4 CEN / TC 224 Les travaux de rvision sont conduits dans le cadre du Technical Committee CEN/TC224: Standards for eBusiness and eGovernment. Personal identification, electronic signature, cards and their related systems and operations . Ce TC a t cr en 1990 avec lobjectif de dvelopper des standards dans le domaine des cartes et des technologies associes : interfaces utilisateurs, porte monnaies lectroniques et autres applications. Depuis 2005, le TC a intgr les signatures lectroniques dans un contexte de eGovernment de faon garantir linteroprabilit des changes commerciaux en Europe. Aujourdhui le TC 224 comprend les 6 groupes de travail ci-dessous347 :
347
http://docbox.etsi.org/Workshop/2011/201101_SECURITYWORKSHOP/S2_ELECTRONIC_SIGNATURES/LEGENDRE_CE NTC224_standardsforeBusinessandeGovernment.pdf
_________________________________________________________________________________________________________________
125/ 133
Le WG15 (European Citizen Card) traite du cadre normatif de la Carte dIdentit Europenne (European Citizen Card), par les spcifications techniques suivantes :
TS 15480-1 ECC physical, electrical, and transport protocol characteristics (under revision) TS 15480-2 ECC logical data structures and security services (under revision) TS 15480-3 ECC interoperability using an application interface (under publication) TS 15480-4 Recommendations for ECC insurance, operation and use (under progress) Future part 5: Overview of ECC standard and implementation guidelines (under progress)
Sous lautorit de lAllemagne, le WG 16 (Smart cards used as Secure Signature Creation Device ) travaille sur deux projets de signatures lectroniques
EN 14890-1: Application Interface for smart cards used as Secure Signature Creation Devices - Part 1: Basic services EN 14890-2: Application Interface for smart cards used as Secure Signature Creation Devices - Part 2: Additional Services
Cest dans ce cadre que sont traits les protocoles dauthentification en ligne, sous forme damendements lEN 14890-1/2 :
New algorithm e.g. AES (Advance Encryption Standards) for Secure Messaging New formally and cryptographically proven password based authentication protocols New formally proved privacy protocols e.g. for online Id management Alignments related to Web services and cards
Le WG 17 traite des profils utilisateurs pour les signatures lectroniques. Grce au mandat M460 de la Commission Europenne, les travaux du CWA (CEN Workshop Agreement) 14169 sur les profils de protection vont maintenant faire lobjet dune TS, Spcification Technique. De mme pour les travaux du CWA 14167 sur les systmes de confiance de gestion de certificats pour des signatures lectroniques. Ce Mandat 460, qui porte sur une dure de 4 annes, est actuellement le centre de gravit de lensemble des travaux sur la signature lectronique en Europe. Le support de la Commission, et lengagement dorganismes de normalisation comme le CEN et lETSI sont des gages de succs ; mais il est important que les acteurs des services en ligne manifestent leur intrt et leurs proccupations. 9.5 Rvision de la Directive Europenne sur le respect de la vie prive dans les transactions lectroniques Annonce pour lautomne 2010, la rvision des Directives europennes348 en matire de protection des donnes caractre personnel est reporte au deuxime semestre 2011. Annonce le 2 aot 2010 par la CNIL, cette dcision de la Commission, fait suite aux pressions exerces par la France et ses homologues europens en faveur dun examen approfondi des textes fondateurs (99/93, 95/46). La Directive europenne du 24 octobre 1995 constitue le socle commun aux pays de lUnion europenne en matire de protection des donnes caractre personnel. Un texte qui consacre la libert de circulation des informations lintrieur des tats Membres en rduisant les divergences entre lgislations nationales.
Directive 95/46/CE du Parlement europen et du Conseil, du 24 octobre 1995, relative la protection des personnes physiques l'gard du traitement des donnes caractre personnel et la libre circulation de ces donnes http://eur-lex.europa.eu/smartapi/cgi/sga_doc?smartapi!celexplus!prod!DocNumber&lg=fr&type_doc=Directive&an_doc=1995&nu_doc=46 Directive 97/66/CE du Parlement europen et du Conseil du 15 dcembre 1997 concernant le traitement des donnes caractre personnel et la protection de la vie prive dans le secteur des tlcommunications http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:31997L0066:FR:HTML Directive 2002/58/CE du Parlement Europen et du Conseil du 12 juillet 2002 concernant le traitement des donnes caractre personnel et la protection de la vie prive dans le secteur des communications lectroniques (directive vie prive et communications lectroniques) http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2002:201:0037:0047:FR:PDF
348
_________________________________________________________________________________________________________________
126/ 133
La Directive a t transpose en droit franais par la loi du 6 aot 2004 relative la protection des personnes physiques concernant les traitements de donnes caractre personnel, rformant la loi du 6 janvier 1978 relative l'informatique, aux fichiers et aux liberts. Sa rvision est prvue notamment pour sadapter aux technologies du XXIme sicle, mieux encadrer les transferts internationaux de donnes personnelles et rduire les divergences entre tats-Membres dans sa mise en uvre. Larticle 29 de cette mme Directive a institu un groupe de travail (nomm pour cette raison G29) runissant lensemble des CNIL europennes. Ce groupe a pour mission de contribuer llaboration des normes (adoption de recommandations) et de conseiller la Commission sur tout projet ayant une incidence sur les droits et liberts des personnes physiques, notamment le traitement de donnes personnelles.
9.5.1 PET, Privacy Enhancing Technologies 349
La Commission Europenne sest penche sur la ncessit de proposer des rgles et recommandations de faon prvenir lempitement des technologies de linformation sur la vie prive, notamment le vol d'identit, les profils discriminatoire et la surveillance lors daccs sur internet. Rappelant que larticle 8 de la Charte des droits fondamentaux de l'Union europenne reconnat le droit la protection des donnes caractre personnel, la Commission sest dote doutils juridiques, notamment la Directive 95/46/CE relative la protection des donnes, la Directive 2002/58/CE relative la vie prive et aux communications lectroniques, ainsi que le rglement 45/2001 qui vise le traitement de donnes caractre personnel par les institutions et organes communautaires. Ainsi l'Article 17 de la Directive 95/46 fait obligation de mettre en uvre les mesures techniques et d'organisation pour garantir un niveau de scurit suffisant au regard des donnes et risques prsents par leur traitement. Ainsi est-il recommand de limiter le traitement des donnes caractre personnel et recourir autant que possible, des identifiants anonymes ou des pseudonymes. Cest dans ce contexte que la Commission a encourag la mise en uvre de dispositifs appels technologies renforant la protection de la vie prive (PET), de faon ce que les infractions aux rgles de protection des donnes comme les violations des droits des individus puissent tre non seulement interdites et passibles de sanctions, mais galement techniquement plus compliques. Les technologies renforant la protection de la vie prive (PET, Privacy Enhancing Technologies) ont fait l'objet de dbats dans les milieux scientifiques ; elles comprennent un ensemble de rgles et dispositifs cohrent qui protgent la vie prive en restreignant lusage des donnes caractre personnel et en vitant les traitements inutiles. Le recours ces technologies rduit la collecte et l'utilisation de donnes caractre personnel et facilite le respect des rgles en vigueur. Il s'agit de mcanismes autonomes qui ncessitent une intervention des internautes, mais aussi d'outils intgrs dans l'architecture des systmes d'information tels que:
L'anonymisation des donnes : Elle conforte le principe selon lequel elles doivent tre conserves pendant une dure n'excdant pas celle ncessaire la ralisation des finalits pour lesquelles elles ont t initialement collectes. Les procds de cryptage : Ils empchent le piratage lorsque les informations sont transmises sur internet. Les procds anti-cookies : Ils tayent le principe selon lequel les donnes doivent tre traites loyalement et licitement, les personnes concernes devant tre informes du traitement en cours. Le recours des plates-formes relatives la protection de la vie prive (Platform for Privacy Preferences ou P3P) : Elles permettent d'analyser les politiques de confidentialit des sites web.
Communication de la Commission au Parlement europen et au Conseil - Promouvoir la protection des donnes par les technologies renforant la protection de la vie prive /* COM/2007/0228 final */
349
_________________________________________________________________________________________________________________
127/ 133
9.5.2
Dveloppement de technologies renforant la protection de la vie prive
Dans sa communication relative la stratgie pour une socit de l'information sre (COM(2006) 251 du 31 mai 2006), la Commission a invit les acteurs du secteur priv stimuler le dploiement de produits, de processus et de services amliorant la scurit pour empcher et combattre le vol d'identit et d'autres atteintes la vie prive . Le cadre juridique de protection des donnes prvoit des restrictions aux principes gnraux lorsque des intrts publics majeurs sont en jeu, tels que la scurit publique, la lutte contre la criminalit ou la sant publique. Les conditions applicables de telles restrictions sont nonces l'article 13 de la Directive relative la protection des donnes (95/46) et l'article 15 de la Direction relative la vie prive et aux communications lectroniques (97/66). Ainsi le recours ces technologies ne doit pas empcher d'intervenir dans la lutte contre la cybercriminalit, le terrorisme ou la prvention de maladies infectieuses.
9.5.3 Action entreprendre concernant le respect de la vie prive
La Commission recommande plusieurs objectifs de faon renforcer la vie prive des internautes :
Soutenir le dveloppement de technologies renforant la protection de la vie prive. En outre, des activits de recherche et de dveloppement devront tre encourages. Encourager les responsables du traitement des donnes utiliser les technologies disponibles en matire de renforcement de la vie prive. La participation des industriels en charge des quipements comme des responsables du traitement des donnes est donc essentielle ; de mme que la collaboration avec les organismes de normalisation europens (CEN, CENELEC, ETSI) et internationaux.
Dans la mouvance de ces technologies renforant la protection de la vie prive, les travaux de normalisation les plus pertinents sont les suivants :
ISO/IEC CD 29101 Information technology -- Security techniques -- Privacy reference architecture ISO/IEC FCD 29100 Information technology -- Security techniques -- Privacy framework ISO/IEC CD 29101 Information technology -- Security techniques -- Privacy reference architecture CEN Workshop on Data Protection and Privacy (WS/DPP) qui comprend les CWAs : o CWA 15262:2005 Inventory of Data Protection Auditing Practices o CWA 15263:2005 Analysis of Privacy Protection Technologies, Privacy- Enhancing Technologies (PET), Privacy Management Systems (PMS) and Identity Management systems (IMS), the Drivers thereof and the need for standardization o CWA 15292:2005 Standard form contract to assist compliance with obligations imposed by article 17 of the Data Protection Directive 95/46/EC (and implementation guide) o CWA 15499-01:2006 Personal Data Protection Audit Framework (EU Directive EC 95/46) Part I: Baseline Framework - The protection of Personal Data in the EU o CWA 15499-02:2006 Personal Data Protection Audit Framework (EU Directive EC 95/46) Part II: Checklists, questionnaires and templates for users of the framework - The protection
of Personal Data in the EU
ISO/IEC CD 24760 Information Technology -- Security Techniques -- A Framework for Identity Management ISO/IEC CD 29115 Information Technology -- Security techniques -- Entity authentication assurance framework ISO/IEC WD 29146 Information Technology - Security techniques - A framework for access management
_________________________________________________________________________________________________________________
128/ 133
9.6
9.6.1
Standards et architectures informatiques

Fdration didentit
L'objectif du projet de Fdration d'Identits est double : dlguer l'authentification un fournisseur didentit (Identity Provider, IDP) et gnrer des requtes dattributs, en fonction de la ncessit de personnaliser les contenus. La dlgation de l'authentification utilise aujourdhui des techniques de Single Sign-On web (redirection, cookies, ), mais non des certificats, un mcanisme qui pourrait tre fort pertinent dans un contexte dauthentification forte, voire dune ncessit de constituer un dossier de traces des actions de linternaute. Lors de la phase d'authentification, le prestataire de services (SP) prend connaissance du fournisseur didentit (IDP) de l'utilisateur qui lui permettra, si ncessaire, d'obtenir des attributs complmentaires. Linternaute a la possibilit de dfinir, de faon diffrencie, pour chaque SP, quelles donnes dvoiler, sachant quil ny a pas ncessairement dattributs gnriques, mais contextuels, ainsi un critre de majorit pour accder des jeux en ligne. Lintrt majeur de la fdration didentit consiste utiliser un login unique pour accder diffrents services (SP). Le consortium Liberty Alliance (disparu au profit de la Kantara Initiative) a rdig un ensemble de spcifications et protocoles ouverts permettant de standardiser gestion et fdration d'identits. Ces protocoles, articuls aujourd'hui autour de SAML 2.0, visent mettre en place des "cercles de confiance" au sein desquels l'utilisateur ne s'identifie qu'une seule fois (SSO) mais o sa vie prive est scrupuleusement prserve. Le fournisseur d'identit (IDP) est la pierre angulaire du cercle de confiance. C'est lui qui garantit l'identit de l'utilisateur auprs de tous les fournisseurs de services faisant partie du mme cercle de confiance. Les changes se font dans des conditions de scurit et de confidentialit optimales en matire de signature et de chiffrement. Point majeur, labsence d'identifiant unique entre fournisseurs de services prserve la vie prive des internautes ; charge eux de moduler la communication dattributs en fonction du type de service et des modalits de contrle daccs (majorit, sexe, etc.. )..
9.6.2 Liberty alliance
Liberty Alliance, appel galement Project Liberty lorigine, est une initiative dindustriels visant la mise en uvre de protocoles de fdration d'identit et de communication entre services en ligne (SP, Service Providers) ; des protocoles conus aussi bien pour laccs aux informations de lentreprise qu des changes interentreprises, voire vis--vis dentit tierces. Initi en 2001, le consortium Liberty se proposait comme une alternative ouverte au projet Passport de Microsoft, en dfinissant des standards visant fdrer la gestion d'identits lectroniques entre plusieurs services ou systmes. Depuis sa cration, ce groupement a t rejoint par plusieurs centaines d'entreprises (France Tlcom, Vodafone, VeriSign, Mastercard, etc.). Lide de base, cest lauthentification unique, ou SSO, de faon accder de multiples services (SP) par un simple guichet. Si SAML a permis de grer la requte dattributs entre IDP et SSP, les spcifications actuelles reposent sur une base plus large de protocoles et de normes notamment dans la mouvance du W3C tels que HTTP et SSL. Les spcifications Liberty Alliance dfinissent trois types d'acteurs :

L'utilisateur, personne physique ou morale, dtenteur dune identit. Le fournisseur d'identit (IDP) qui cre et gre l'identit des utilisateurs et les authentifie ensuite auprs des fournisseurs de services (SP).
_________________________________________________________________________________________________________________
129/ 133
Le fournisseur de services (SP) qui propose des offres en ligne aux utilisateurs une fois authentifis par un fournisseur d'identit350.
On appelle Cercle de Confiance un groupement de fournisseurs d'identits et de services qui se sont mis d'accord pour mettre en commun l'identit de leurs utilisateurs. Les modalits de fonctionnement sont les suivantes351 :

L'usager se connecte un SP Le SP le redirige vers son IDP L'usager s'authentifie auprs de lIDP LIDP communique au SP un attribut d'authentification (artifact) sous contrle de lusager Le SP fournit alors l'usager le service demand ; Il accde ensuite aux services d'autres fournisseurs de services du mme Cercle de Confiance sans avoir besoin de se r-authentifier
Lauthentification unique permet linternaute d'accder, une fois reconnu par un fournisseur didentit, des multiples fournisseurs ressortissant dun mme Cercle de Confiance . Les protocoles de Liberty Alliance prcisent les modalits de transmission de multiples attributs, considrs comme contextuels , en fonction de la connexion un service, tout comme les mcanismes de prservation de sa prive. Liberty Alliance, par son ambition de runir dans un Cercle de Confiance fournisseurs didentit et prestataires de services , se dfinit comme une fdration dacteurs, dont lusager constitue un centre dcisionnel ; cest lui qui gnre les requtes de faon minimiser la transmission de donnes et ne communiquer que des informations essentielles. Par contre, notre usager doit tre authentifi au pralable par un fournisseur d'identit(IDP) reconnu par le fournisseur du service auquel il sadresse. Lintrt de cette architecture fdrative, cest de distribuer des donnes entre services, quitte les requrir lors de la connexion de nouveaux comptes. Chaque service partenaire exerce ainsi la gestion dune politique de scurit, indpendante. Liberty Alliance permet de coupler les exigences d'une authentification forte avec le respect de la vie prive, c'est la raison pour laquelle la Direction Gnrale de la Modernisation de l'tat est membre du consortium et encourage son utilisation au sein des administrations franaises.
9.6.3 OpenID
OpenID est un systme dauthentification dcentralis qui permet lauthentification unique, ainsi que le partage dattributs. Lusager peut ainsi multiplier les identits, en sauthentifiant auprs de divers sites, mais, contrairement aux autres procds, il utilise chaque fois un identifiant unique intitul OpenID . Le modle se base sur des liens de confiance tablis entre oprateurs de services (SP) et fournisseurs didentit (IDP). Vu la popularit des sites sociaux, OpenID est trs apprci vu sa facult de proposer un guichet unique en privilgiant un fournisseur. Une initiative reprise par Yahoo, MySpace, DailyMotion et Facebook qui le proposent aujourdhui plusieurs centaines de millions dusagers ; depuis, quelques tnors de linternet comme IBM, Microsoft, Google, Yahoo et Verisign ont rejoint son conseil dadministration.
9.6.4 SAML 2.0
Normalis, dans sa version 2.0, en mai 2005 par l'OASIS, SAML permet l'change scuris d'informations d'identits (authentification et autorisation). Ce protocole dfinit le format du message XML, appel assertion, ainsi qu'un ensemble de profils. Ces profils correspondent des cas d'utilisation dtaills qui dcrivent la cinmatique d'change des messages, de mme que les paramtres attendus et renvoys.
350
351
http://www.entrouvert.com/fr/identite-numerique/liberty-alliance Idem
_________________________________________________________________________________________________________________
130/ 133
Fonctionnement
SAML dfinit deux briques essentielles pour scuriser les changes352 : Le SP (Service Provider), fournisseur de service, qui protge l'accs aux applications. Il refuse tout accs sans authentification pralable et redirige l'utilisateur non authentifi vers son fournisseur d'identit. L'IDP (Identity Provider), fournisseur d'identit, s'occupe d'authentifier l'utilisateur ainsi que de rcuprer des informations additionnelles associes son identit.
Ce mode de fonctionnement est suffisant pour une utilisation cantonne l'entreprise avec un annuaire didentits centralis. Dans le cadre d'une fdration entre plusieurs domaines d'identification, SAML dfinit une troisime brique appele le DS (Discovery Service) qui permet l'utilisateur de slectionner manuellement son domaine parmi une liste.
Profils
Le profil le plus courant, appel "Web Browser SSO", dcrit, entre autres, les tapes d'authentification d'un utilisateur et les allers-retours entre SP et IDP. L'utilisateur tente d'accder sa ressource protge par le SP. Le SP vrifie que l'utilisateur est authentifi et, s'il ne l'est pas, le redirige vers son IDP. L'IDP demande l'utilisateur de s'authentifier (identifiant et mot de passe par exemple) puis renvoie une assertion SAML au SP contenant l'identit de l'utilisateur et la garantie qu'il est authentifi. Le SP autorise alors l'utilisateur accder la ressource initialement demande. Ce mcanisme d'authentification repose sur les redirections du navigateur internet. Ce profil permet aussi de rcuprer un ensemble d'attributs supplmentaires lis l'identit de l'utilisateur et demands par la ressource. Un second profil bas sur des artfacts, permet de dcorrler l'authentification de la rcupration des informations d'identit. Le SP reoit de l'IDP, par le navigateur Internet de l'utilisateur, une assertion SAML contentant un artefact. Le SP doit alors interroger directement l'IDP pour obtenir les informations lies l'identit de l'utilisateur. D'autres profils dcrivent comment mettre en uvre le DS, les notions de logout et la possibilit de se passer du navigateur de l'utilisateur pour transmettre les assertions SAML entre services.
Scurit
Les assertions SAML sont bases sur les couches SOAP, XML Encryption et XML Signature. SOAP est le protocole d'encapsulation standard des messages XML, utilis principalement par les Web services. XML Encryption est le protocole standard de chiffrement des messages XML. Il a la particularit de pouvoir chiffrer la globalit du message ou simplement un sous-ensemble. Cela permet d'avoir par exemple un document XML en clair avec des valeurs d'attributs chiffres. XML Signature est le protocole standard de signature des messages XML. Tout comme XML Encryption il permet de cibler l'lment signer. Cela permet plusieurs intervenants de signer chacun une partie diffrente du document XML.
Le SP et L'IDP sont deux entits qui ont connaissance chacune l'une de l'autre en termes d'identifiant et de certificat. Les messages XML qui transitent sur le rseau sont donc chiffrs par la cl publique du destinataire, seul capable de lire le message avec sa cl prive. L'metteur signe ses assertions avec sa cl prive permettant au destinataire de vrifier sa provenance. Ce protocole, trs scuris, remplit les fonctions de SSO au sein d'une entreprise et entre diffrents domaines d'identification. Il devrait remplacer les logiciels propritaires de Web SSO, beaucoup moins scuriss.
352
http://www.journaldunet.com/developpeur/xml/analyse/la-federation-d-identite-au-travers-de-saml.shtml
_________________________________________________________________________________________________________________
131/ 133
9.6.5
Microsoft Passport; Windows CardSpace
Connu sous lacronyme de Windows Live ID (anciennement .NET Passport), Microsoft Passport Network tait destin faciliter l'identification sur les sites Web grce une adresse unique de messagerie et un mot de passe. Cette initiative n'a pas eu le succs escompt par Microsoft et certains sites web, comme eBay, qui l'avaient adopt au dpart, ont fini par l'abandonner. Par contre, Windows CardSpace, sous le nom de code InfoCard, consiste en un systme de gestion d'identits par authentification unique mis en place par Microsoft pour son systme d'exploitation Windows Vista.
9.6.6 InfoCard : nouveau systme d'identification unifi
Initi par Microsoft, InfoCard vise proposer un systme unifi de faon ce que les usagers puissent accder de multiples services en ligne en s'identifiant une seule fois par un mcanisme simple de login / password. Linitiative fait suite Passport, lanc en 1999, un quasi chec puisqu'il a t boud par la plupart des dveloppeurs ; les informations plus ou moins "confidentielles" tant gres par Microsoft et non les usagers et fournisseurs de services en ligne. Do un risque pour la vie prive des internautes. Aujourdhui InfoCard se positionne comme un vritable standard de connexion scurise des services en ligne dans le cadre dun vaste Mtasystme qui gre la fois fournisseurs didentits et prestataires de services en ligne. InfoCard stocke les multiples identits des usagers comme des cartes daccs de faon lutter contre les tentatives de fraudes comme le phishing. Lusager dispose dune interface appele UI (User Interface) de faon grer ses relations avec divers fournisseurs de services (SP). Diffrentes Information Cards sont sa disposition pour grer ses relations avec les services en ligne. Ces fameuses cartes peuvent grer jusqu 14 attributs tels que le nom, ladresse,.. CardSpace opre sur le Web Services Protocol Stack, un ensemble de protocoles XML dont WS-Security, WS-Trust, WS-MetadataExchange et WS-SecurityPolicy. Donc une possibilit dintgrer toutes les technologies compatibles avec WS. Un fournisseur didentit qui propose des attributs met en uvre un Security Token Service (STS) qui gre les requtes WS-Trust. Un des avantages de CardSpace, cest dtre agnostique vis--vis de formats dattributs ; cest pourquoi il ne se pose nullement comme rival vis--vis darchitectures internet telles que OpenID et SAML qui lui sont complmentaires. Ainsi les protocoles InfoCard peuvent tre utiliss pour accder des SP OpenID, des comptes Windows Live ID tour comme des IDP bass sur SAML. Microsoft fournit CardSpace avec son .NET Framework 3.0, compatible avec Windows XP, Windows Server 2003, Windows Vista, Windows 7. Mais il peut aussi tre tlcharg gratuitement
9.6.7 WS*
Les Web Services ou WS se composent de multiples programmes visant la communication et l'change de donnes entre applications et systmes htrognes dans des environnements distribus. Ils sont destins faciliter les relations intra et inter-entreprises. Un concept prcis et mis en uvre dans le cadre du Web Services Activity du W3C353, grce au protocole SOAP. Dans les grandes lignes, les diffrents intervenants fournisseurs didentit et de services - partagent une mme smantique de faon coordonner leurs changes de messages. Les standards WS-* sont souvent dcris, comme risquant de gnrer une course la performance technologique. Toutefois leur robustesse dans le milieu des services entre professionnels est reconnue, et ils restent largement utiliss.
Le World Wide Web Consortium, abrg par le sigle W3C, est un organisme de standardisation but non-lucratif, fond en octobre 1994 comme un consortium charg de promouvoir la compatibilit des technologies du World Wide Web telles que HTML, XHTML, XML, RDF, CSS, PNG, SVG et SOAP.
353
_________________________________________________________________________________________________________________
132/ 133
Il existe une multiplicit de spcifications associes aux services Web WS-*, des niveaux de maturit parfois diffrents, et maintenus par diverses organisations de standardisation. Elles sont aujourd'hui dsignes sous le terme WS-*, en raison du sigle WS- qui prcde la majorit d'entre eux. Les Services Web WS-*354 dsignent l'implmentation logicielle des spcifications WS-* et reposent tous sur un ensemble de protocoles et de standards utiliss pour l'change de donnes entre applications dans des environnements htrognes :

le SOAP (Simple Object Access Protocol) pour l'change de messages, le WSDL (Web Service Description Language) pour la description : des services web, de leurs oprations, des messages utiliss, des types de donnes, des protocoles utiliss et de leur localisation au sens internet (URI / URL), les annuaires UDDI qui peuvent rfrencer des services web.
Les logiciels sont crits dans divers langages de programmation de faon sadapter aux multiples platesformes et environnements. Les travaux de standardisation sont aujourdhui coordonns par l'OASIS et le World Wide Web Consortium (W3C) de faon coordonner et amliorer l'interoprabilit entre les ralisations de services Web.
9.6.8 SOAP
SOAP (ancien acronyme de Simple Object Access Protocol)355 est lun des principaux protocoles de RPC Remote Procedure Call bti sur larchitecture XML. Lobjectif vise faciliter la communication de messages entre serveurs distants, le transfert se faisant le plus souvent l'aide du protocole HTTP ou SMTP. Majoritairement utilis pour la transmission de donnes, SOAP est particulirement utile pour excuter des dialogues requte-rponse RPC (Remote Procedure Call). Indpendants du systme dexploitation, et du mode de programmation, les dialogues peuvent tourner sur toute plate-forme et tre crits dans n'importe quel langage. Il s'agit donc d'un important composant de base pour dvelopper des applications distribues qui exploitent des services par intranets ou internet. Un protocole SOAP comprend deux parties : une enveloppe, contenant des informations sur le message lui-mme afin de permettre son acheminement et son traitement, un modle de donnes, dfinissant le format du message, c'est--dire les informations transmettre. Initi par Microsoft et IBM, SOAP fait maintenant lobjet de recommandations du W3C, notamment dans le cadre d'architectures de type SOA (Service Oriented Architecture) pour tous Services Web WS-*.
354 355
http://fr.wikipedia.org/wiki/Service_Web#Les_Services_Web_WS http://fr.wikipedia.org/wiki/SOAP
_________________________________________________________________________________________________________________
133/ 133
ANNEXE: Documentation de rfrence sur les signatures lectroniques

Directive 1999/93/EC of the European Parliament and the Council of 13.12.1999 on a Community framework for electronic signatures Decision 2003/511/EC of 14.7.2003 on the publication of reference numbers of generally recognized standards for electronic signature products in accordance with Directive 1999/93/EC of the European Parliament and of the Council Commission Decision 2000/709/EC of 6.11.2000 on the minimum criteria to be taken into account by MS when designating bodies in accordance with Article 3(4) of Directive 1999/93/EC of EP and Council on a Community framework for electronic signatures. Communication from the Commission to the Council, the European Parliament, the European Economic and Social Committee and the Committee of the Regions on an Action Plan on signatures and e-identification to facilitate the provision of cross-border public services in the Single Market, COM(2008)798 of 28.11.08. Report from the Commission to the European Parliament and the Council: Report on the operation of Directive 1999/93/EC on a Community framework for electronic signatures, COM(2006)120, 15.3.06. Directive 1998/34/EC of the European Parliament and the Council of 22.6.1998 laying down a procedure for the provision of information in the field of technical standards and regulations and of rules on Information Society services. Services: Directive 2006/123/EC of the European Parliament and Council of 12.12.06 on services in the internal market, OJ L376 of 27.12.06. Public procurement: Directive 2004/18/EC of the European Parliament and Council of 31.3.04 on the coordination of procedures for the award of public works contracts, public supply contracts and public service contracts and Directive 2004/17/EC of the European Parliament and Council of 31.3.04 coordinating the procurement procedures of entities operating in the water, energy, transport and postal services sectors. eInvoicing: Council Directive 2006/112/EC of 28.11.06 on the common system of value added tax. EESSI Mandate M279, Mandate to CEN, CENELEC and ETSI in support of a European legal framework for electronic signatures, European Commission, 1998. EESSI mandate M290, Mandate addressed to CEN, CENELEC and ETSI in support of the European legal framework for electronic signatures- Phase 2: Implementation of the work programme resulting from mandate M279 and presented in Section 8.3 of the (draft) report prepared by EESSI, European Commission, 1999. Study on the standardisation aspects of e-signatures, SEALED, DLA Piper et al, 2007. Evaluation of the standardization procedures in the context of the European electronic signature standardization initiative, Jos Dumortier, 2002. CROBIES study (Cross-Border Interoperability of eSignature), Siemens, SEALED and TimeLex, staged publication: draft documents delivered

Etude Authentification Forte en Ligne

Hochgeladen von

Dokumentinformationen

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

Etude Authentification Forte en Ligne

Hochgeladen von

Copyright:

Verfügbare Formate

LES LEVIERS DUSAGE DANS LA SOCIETE DE LECONOMIE NUMERIQUE : IDENTIFICATION, AUTHENTIFICATION, SIGNATURE

Les leviers dusage dans la socit de lconomie numrique

Charles de Coussin, ID Partners

pour le Chaptre 5, Le cadre juridique

pour le Chaptre 6, Use case 1 : domaine bancaire

Les leviers dusage dans la socit de lconomie numrique

Les leviers dusage dans la socit de lconomie numrique

Les leviers dusage dans la socit de lconomie numrique

Les leviers dusage dans la socit de lconomie numrique

Les leviers dusage dans la socit de lconomie numrique

Les leviers dusage dans la socit de lconomie numrique

8.12 8.13 8.13.1 8.13.2 8.13.3 8.13.4 8.14 8.15 9

Les leviers dusage dans la socit de lconomie numrique

Les leviers dusage dans la socit de lconomie numrique

CONTEXTE ET PERIMETRE DE LETUDE

Les leviers dusage dans la socit de lconomie numrique

Les leviers dusage dans la socit de lconomie numrique

Les leviers dusage dans la socit de lconomie numrique

Les initiatives de ltat vis--vis du numrique

Identit sur internet

Les leviers dusage dans la socit de lconomie numrique

Un dlit dj vis par lAction N87 du Rapport Besson :

Les leviers dusage dans la socit de lconomie numrique

Les leviers dusage dans la socit de lconomie numrique

Les leviers dusage dans la socit de lconomie numrique

TYPOLOGIE DES ACTEURS

Les leviers dusage dans la socit de lconomie numrique

Les leviers dusage dans la socit de lconomie numrique

La Fiche dtat civil

Les leviers dusage dans la socit de lconomie numrique

Les leviers dusage dans la socit de lconomie numrique

Les leviers dusage dans la socit de lconomie numrique

Les leviers dusage dans la socit de lconomie numrique

Les leviers dusage dans la socit de lconomie numrique

Les leviers dusage dans la socit de lconomie numrique

Les accs internet

Les leviers dusage dans la socit de lconomie numrique

Les leviers dusage dans la socit de lconomie numrique

SEPA Direct Debit

Les leviers dusage dans la socit de lconomie numrique

Le RuleBook de l'EPC90 propose 2 possibilits pour grer le mandat de manire lectronique :

European Payments Council

Les leviers dusage dans la socit de lconomie numrique

Les leviers dusage dans la socit de lconomie numrique

Les leviers dusage dans la socit de lconomie numrique

Les leviers dusage dans la socit de lconomie numrique

Concernant lachat sur le web, on distingue deux principaux types de fraude

Les leviers dusage dans la socit de lconomie numrique

Les leviers dusage dans la socit de lconomie numrique

Fraude aux paiements sur le web

Les leviers dusage dans la socit de lconomie numrique

Le MO/TO (Mail Order / Telephone Order)

Les leviers dusage dans la socit de lconomie numrique

Les leviers dusage dans la socit de lconomie numrique

Entretien Mr Alexandre Stervinou, Banque de France. Eurosystme.

Les leviers dusage dans la socit de lconomie numrique

Les jeux en ligne

Les leviers dusage dans la socit de lconomie numrique

Les leviers dusage dans la socit de lconomie numrique

Les greffes des tribunaux

Les leviers dusage dans la socit de lconomie numrique

Immatriculation dune socit

La procdure se dcompose comme suit :

Les leviers dusage dans la socit de lconomie numrique